Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06960

Опубликовано: 11 окт. 2023
Источник: fstec
CVSS3: 8.2
CVSS2: 8
EPSS Низкий

Описание

Уязвимость библиотеки Хerces C++ платформы совместного управления ИТ-оборудованием BigFix Platform вызвана целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного HTTP-запроса

Вендор

Red Hat Inc.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
Apache Software Foundation
HCL Technologies
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
РЕД ОС
Astra Linux Special Edition
РОСА Кобальт
Xerces C++
BigFix Platform
ОСОН ОСнова Оnyx

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
7.9 (РОСА Кобальт)
3.2.3 (Xerces C++)
от 9.0.0 до 9.5.23 (BigFix Platform)
от 10.0.0 до 10.0.10 (BigFix Platform)
до 2.10 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
Для BigFix Platform:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0107791
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-37536
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения xerces-c до версии 3.2.2+debian-1+deb10u2
Для ОС Astra Linux:
обновить пакет xerces-c до 3.2.2+debian-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет xerces-c до 3.2.2+debian-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2562
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2562

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 77%
0.01084
Низкий

8.2 High

CVSS3

8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240329-22

CVSS3: 8.2
redos
около 1 года назад

Уязвимость xerces-c

ubuntu логотип

CVE-2023-37536

CVSS3: 8.2
ubuntu
больше 1 года назад

An integer overflow in xerces-c++ 3.2.3 in BigFix Platform allows remote attackers to cause out-of-bound access via HTTP request.

redhat логотип

CVE-2023-37536

CVSS3: 8.8
redhat
больше 1 года назад

An integer overflow in xerces-c++ 3.2.3 in BigFix Platform allows remote attackers to cause out-of-bound access via HTTP request.

nvd логотип

CVE-2023-37536

CVSS3: 8.2
nvd
больше 1 года назад

An integer overflow in xerces-c++ 3.2.3 in BigFix Platform allows remote attackers to cause out-of-bound access via HTTP request.

debian логотип

CVE-2023-37536

CVSS3: 8.2
debian
больше 1 года назад

An integer overflow in xerces-c++ 3.2.3 in BigFix Platform allows remo ...

EPSS

Процентиль: 77%
0.01084
Низкий

8.2 High

CVSS3

8 High

CVSS2