Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07920

Опубликовано: 03 нояб. 2023
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Средний

Описание

Уязвимость обработчика аутентификации HTTP Digest Authentication прокси-сервера Squid связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или оказать иное воздействие

Вендор

Novell Inc.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
АО «НТЦ ИТ РОСА»
Squid Software Foundation
АО "НППКТ"

Наименование ПО

SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Альт 8 СП
РОСА ХРОМ
Squid
ОСОН ОСнова Оnyx

Версия ПО

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
11 SP4 (Suse Linux Enterprise Server)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP2-ESPOS (Suse Linux Enterprise Server)
15 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4-LTSS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
12 SP3-LTSS (Suse Linux Enterprise Server)
12 SP3-BCL (Suse Linux Enterprise Server)
11 SP3-LTSS (Suse Linux Enterprise Server)
10 (Debian GNU/Linux)
12 SP3-ESPOS (Suse Linux Enterprise Server)
12 SP2 (Suse Linux Enterprise Server)
15-LTSS (Suse Linux Enterprise Server)
11 SP3 (Suse Linux Enterprise Server)
12 SP4-ESPOS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1 (Suse Linux Enterprise Server)
11 (Debian GNU/Linux)
8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15 SP3 (Suse Linux Enterprise Server)
15 SP2 (Suse Linux Enterprise Server)
- (Альт 8 СП)
15 (Suse Linux Enterprise Server)
15 SP2-BCL (Suse Linux Enterprise Server)
4.7 (Astra Linux Special Edition)
8.2 Telecommunications Update Service (Red Hat Enterprise Linux)
8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.6 Extended Update Support (Red Hat Enterprise Linux)
8.2 Advanced Update Support (Red Hat Enterprise Linux)
15 SP3-BCL (Suse Linux Enterprise Server)
12.4 (РОСА ХРОМ)
8.4 Telecommunications Update Service (Red Hat Enterprise Linux)
8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)
от 3.2.0.1 до 6.4 (Squid)
до 2.10 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. Suse Linux Enterprise Server 11 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 11 SP3-LTSS
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP2
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. Suse Linux Enterprise Server 11 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. Suse Linux Enterprise Server 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Red Hat Inc. Red Hat Enterprise Linux 8.2 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support
Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
Red Hat Inc. Red Hat Enterprise Linux 8.4 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Обновление программного обеспечения Squid до версии 6.4 или выше
Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-46847
Для программных продуктов NetApp Inc.:
https://www.suse.com/security/cve/CVE-2023-46847.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-46847
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения squid до версии 6.6-1osnova1
Для ОС Astra Linux:
обновить пакет squid до 5.7-2+deb12u1+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет squid до 5.7-2+deb12u1+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2477

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.50113
Средний

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240521-02

CVSS3: 9.9
redos
около 1 года назад

Уязвимость squid

ubuntu логотип

CVE-2023-46847

CVSS3: 8.6
ubuntu
больше 1 года назад

Squid is vulnerable to a Denial of Service, where a remote attacker can perform buffer overflow attack by writing up to 2 MB of arbitrary data to heap memory when Squid is configured to accept HTTP Digest Authentication.

redhat логотип

CVE-2023-46847

CVSS3: 8.6
redhat
больше 1 года назад

Squid is vulnerable to a Denial of Service, where a remote attacker can perform buffer overflow attack by writing up to 2 MB of arbitrary data to heap memory when Squid is configured to accept HTTP Digest Authentication.

nvd логотип

CVE-2023-46847

CVSS3: 8.6
nvd
больше 1 года назад

Squid is vulnerable to a Denial of Service, where a remote attacker can perform buffer overflow attack by writing up to 2 MB of arbitrary data to heap memory when Squid is configured to accept HTTP Digest Authentication.

debian логотип

CVE-2023-46847

CVSS3: 8.6
debian
больше 1 года назад

Squid is vulnerable to a Denial of Service, where a remote attacker c ...

EPSS

Процентиль: 98%
0.50113
Средний

9.9 Critical

CVSS3

9 Critical

CVSS2