Описание
Уязвимость функции yajl_tree_parse библиотеки JSON YAJL-ruby связана с неправильным освобождением памяти перед удалением последней ссылки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
АО «НТЦ ИТ РОСА»
АО "НППКТ"
Jeroen Ooms
Brian Lopez
Lloyd Hilaiel
Наименование ПО
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Альт 8 СП
РОСА ХРОМ
ОСОН ОСнова Оnyx
Jsonlite
EPICS Base
YAJL-ruby
YAJL
Версия ПО
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
12.4 (РОСА ХРОМ)
до 2.8 (ОСОН ОСнова Оnyx)
до 1.8.7 включительно (Jsonlite)
до 7.0.7 включительно (EPICS Base)
до 1.4.3 (YAJL-ruby)
до 2.1.0-4 (YAJL)
до 2.9 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Для Jsonlite:
использование рекомендаций производителя: https://www.mail-archive.com/debian-security-tracker-commits@alioth-lists.debian.net/msg46861.html
Для EPICS Base:
использование рекомендаций производителя: https://www.mail-archive.com/debian-security-tracker-commits@alioth-lists.debian.net/msg46861.html
Для YAJL-ruby:
использование рекомендаций производителя: https://github.com/brianmario/yajl-ruby/security/advisories/GHSA-jj47-x69x-mxrm
Для YAJL:
использование рекомендаций производителя: https://github.com/lloyd/yajl/issues/250
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-33460
Для ОС Astra Linux:
обновить пакет yajl до 2.1.0-3+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения yajl до версии 2.1.0-3+deb10u2
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения yajl до версии 2.1.0-3+deb10u1
Для Astra Linux Special Edition 4.7:
обновить пакет yajl до 2.1.0-3+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2478
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 32%
0.00119
Низкий
6.5 Medium
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 6.5
ubuntu
около 2 лет назад
There's a memory leak in yajl 2.1.0 with use of yajl_tree_parse function. which will cause out-of-memory in server and cause crash.
CVSS3: 6.5
redhat
около 2 лет назад
There's a memory leak in yajl 2.1.0 with use of yajl_tree_parse function. which will cause out-of-memory in server and cause crash.
CVSS3: 6.5
nvd
около 2 лет назад
There's a memory leak in yajl 2.1.0 with use of yajl_tree_parse function. which will cause out-of-memory in server and cause crash.
EPSS
Процентиль: 32%
0.00119
Низкий
6.5 Medium
CVSS3
7.8 High
CVSS2