Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00898

Опубликовано: 22 июн. 2023
Источник: fstec
CVSS3: 6.3
CVSS2: 6.5
EPSS Средний

Описание

Уязвимость функции RGWPostObj_ObjStore_S3::get_params() (rgw_rest_s3.cc) службы RGW системы хранения данных Ceph связана с недостатками разграничения доступа при обработке ключей корзины. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и загрузить произвольные файлы

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
Red Hat Inc.
ООО «РусБИТех-Астра»
АО "НППКТ"

Наименование ПО

Ubuntu
Debian GNU/Linux
Red Hat Ceph Storage
Astra Linux Special Edition
Red Hat Openshift Data Foundation
Red Hat Openshift Container Storage
Astra Linux Common Edition
ОСОН ОСнова Оnyx
Ceph

Версия ПО

14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
4 (Red Hat Ceph Storage)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4 (Red Hat Openshift Data Foundation)
4 (Red Hat Openshift Container Storage)
22.04 LTS (Ubuntu)
4.7 (Astra Linux Special Edition)
5 (Red Hat Ceph Storage)
1.6 «Смоленск» (Astra Linux Common Edition)
18.04 ESM (Ubuntu)
6.1 (Red Hat Ceph Storage)
23.10 (Ubuntu)
до 2.9 (ОСОН ОСнова Оnyx)
до 19.0.0 (Ceph)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Canonical Ltd. Ubuntu 22.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»
Canonical Ltd. Ubuntu 18.04 ESM
Canonical Ltd. Ubuntu 23.10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Ceph:
https://tracker.ceph.com/issues/63004
https://github.com/ceph/ceph/pull/53714
https://github.com/ceph/ceph/commit/100d81aa060f061271499f1fa28dbdc06de443fd
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6613-1
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-43040
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-43040
Для ОСОН ОСнова Оnyx:Обновление программного обеспечения ceph до версии 12.2.11+dfsg1.repack2-2.1+deb10u1.osnova1
Для ОС Astra Linux:
обновить пакет ceph до 16.2.10+ds-5.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет ceph до 16.2.10+ds-5.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для ОС Astra Linux:
обновить пакет ceph до 12.2.13-0ubuntu0.18.04.10+ci202111101934+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.1017
Средний

6.3 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-43040

CVSS3: 6.5
ubuntu
больше 1 года назад

IBM Spectrum Fusion HCI 2.5.2 through 2.7.2 could allow an attacker to perform unauthorized actions in RGW for Ceph due to improper bucket access. IBM X-Force ID: 266807.

redhat логотип

CVE-2023-43040

CVSS3: 6.3
redhat
больше 2 лет назад

IBM Spectrum Fusion HCI 2.5.2 through 2.7.2 could allow an attacker to perform unauthorized actions in RGW for Ceph due to improper bucket access. IBM X-Force ID: 266807.

nvd логотип

CVE-2023-43040

CVSS3: 6.5
nvd
больше 1 года назад

IBM Spectrum Fusion HCI 2.5.2 through 2.7.2 could allow an attacker to perform unauthorized actions in RGW for Ceph due to improper bucket access. IBM X-Force ID: 266807.

msrc логотип

CVE-2023-43040

CVSS3: 6.5
msrc
больше 1 года назад

IBM Spectrum Fusion HCI improper access control

debian логотип

CVE-2023-43040

CVSS3: 6.5
debian
больше 1 года назад

IBM Spectrum Fusion HCI 2.5.2 through 2.7.2 could allow an attacker to ...

EPSS

Процентиль: 93%
0.1017
Средний

6.3 Medium

CVSS3

6.5 Medium

CVSS2