BDU:2023-09013

Опубликовано: 09 нояб. 2023

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость пакета filepath языка программирования Go связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Вендор

Novell Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

NetApp Inc.

The Go Project

The Linux Foundation

Наименование ПО

OpenSUSE Leap

Debian GNU/Linux

openSUSE Tumbleweed

РЕД ОС

Suse Linux Enterprise Server

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

SUSE Manager Retail Branch Server

SUSE Manager Proxy

SUSE Manager Server

SUSE Linux Enterprise High Performance Computing

SUSE Linux Enterprise Module for Development Tools

Cloud Insights Telegraf Agent

NetApp Kubernetes Monitoring Operator

Helm

Версия ПО

15.5 (OpenSUSE Leap)

10 (Debian GNU/Linux)

- (openSUSE Tumbleweed)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

15.4 (OpenSUSE Leap)

15 SP4 (Suse Linux Enterprise Server)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Proxy)

4.3 (SUSE Manager Server)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

15 SP4 (SUSE Linux Enterprise Module for Development Tools)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Development Tools)

- (Cloud Insights Telegraf Agent)

- (NetApp Kubernetes Monitoring Operator)

до 1.20.11 (Go)

от 1.21.0 до 1.21.4 (Go)

3.13.2 (Helm)

Тип ПО

Операционная система

Сетевое средство

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.5

Microsoft Corp. Windows -

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. openSUSE Tumbleweed -

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- отключение/удаление неиспользуемых учетных записей пользователей;

- минимизация пользовательских привилегий;

- использование антивирусных средств защиты;

- контроль действий пользователей.

Использование рекомендаций:

Для Go:

https://go.dev/cl/540277

https://go.dev/issue/63713

https://pkg.go.dev/vuln/GO-2023-2185

Для программных продуктов NetApp Inc.:

https://security.netapp.com/advisory/ntap-20231214-0008/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-45283

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-45283.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-45283
CVE

EPSS

Процентиль: 20%

0.00064

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ROS-20240826-01

CVSS3: 7.5

redos

10 месяцев назад

Множественные уязвимости packer

ROS-20240402-17

CVSS3: 7.5

redos

около 1 года назад

Множественные уязвимости golang

CVE-2023-45283

CVSS3: 7.5

ubuntu

больше 1 года назад

The filepath package does not recognize paths with a \??\ prefix as special. On Windows, a path beginning with \??\ is a Root Local Device path equivalent to a path beginning with \\?\. Paths with a \??\ prefix may be used to access arbitrary locations on the system. For example, the path \??\c:\x is equivalent to the more common path c:\x. Before fix, Clean could convert a rooted path such as \a\..\??\b into the root local device path \??\b. Clean will now convert this to .\??\b. Similarly, Join(\, ??, b) could convert a seemingly innocent sequence of path elements into the root local device path \??\b. Join will now convert this to \.\??\b. In addition, with fix, IsAbs now correctly reports paths beginning with \??\ as absolute, and VolumeName correctly reports the \??\ prefix as a volume name. UPDATE: Go 1.20.11 and Go 1.21.4 inadvertently changed the definition of the volume name in Windows paths starting with \?, resulting in filepath.Clean(\?\c:) returning \?\c: rather than \?...

CVE-2023-45283

CVSS3: 7.5

nvd

больше 1 года назад

CVE-2023-45283

CVSS3: 7.5

debian

больше 1 года назад

The filepath package does not recognize paths with a \??\ prefix as sp ...

EPSS

Процентиль: 20%

0.00064

Низкий

7.5 High

CVSS3

7.8 High

CVSS2