Описание
Уязвимость компонента log_blackbox.c библиотеки libqb связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Canonical Ltd.
Fedora Project
Oracle Corp.
АО «ИВК»
IBM Corp.
ClusterLabs
Наименование ПО
Red Hat Enterprise Linux
OpenSUSE Leap
Debian GNU/Linux
openSUSE Tumbleweed
SUSE Linux Enterprise High Availability Extension
Astra Linux Special Edition
Suse Linux Enterprise Server
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
Ubuntu
SUSE Manager Retail Branch Server
SUSE Manager Proxy
SUSE Manager Server
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Module for Basesystem
Fedora
Oracle Linux
АЛЬТ СП 10
IBM DB2
SUSE Liberty Linux
libqb
IBM Application Performance Management
IBM Security Verify Governance
Storage Protect Server
Версия ПО
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
15.5 (OpenSUSE Leap)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
15 SP3 (SUSE Linux Enterprise High Availability Extension)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
15 SP4 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise High Availability Extension)
9.0 Extended Update Support (Red Hat Enterprise Linux)
15 SP2 (SUSE Linux Enterprise High Availability Extension)
15 SP4 (SUSE Linux Enterprise High Availability Extension)
38 (Fedora)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Basesystem)
23.04 (Ubuntu)
9 (Oracle Linux)
- (АЛЬТ СП 10)
11.5 (IBM DB2)
11.5 (IBM DB2)
11.5 (IBM DB2)
9 (SUSE Liberty Linux)
9.2 Extended Update Support (Red Hat Enterprise Linux)
от 2.0.0 до 2.0.7 включительно (libqb)
8.1.3 (IBM Application Performance Management)
10.0.2 (IBM Security Verify Governance)
8.1 (Storage Protect Server)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое средство
СУБД
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Novell Inc. OpenSUSE Leap 15.5
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support
Fedora Project Fedora 38
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
Canonical Ltd. Ubuntu 23.04
АО «ИВК» АЛЬТ СП 10 -
Novell Inc. SUSE Liberty Linux 9
Red Hat Inc. Red Hat Enterprise Linux 9.2 Extended Update Support
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для libqb:
https://github.com/ClusterLabs/libqb/commit/1bbaa929b77113532785c408dd1b41cd0521ffc8
https://github.com/ClusterLabs/libqb/pull/490
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KECNF7LFBPE57XSBT6EM7ACVMIBP63WH/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-39976
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-39976
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-39976.html
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6308-1
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/linuxbulletinoct2023.html
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/security-bulletin-vulnerability-libqb-affects-ibm%C2%AE-db2%C2%AE-high-availability-deployments-using-pacemaker-cve-2023-39976
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет libqb до 2.0.3-1+ci202408281533+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет libqb до 2.0.3-1+ci202408281533+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
- USN
EPSS
Процентиль: 38%
0.00167
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
около 2 лет назад
log_blackbox.c in libqb before 2.0.8 allows a buffer overflow via long log messages because the header size is not considered.
CVSS3: 7.2
redhat
около 2 лет назад
log_blackbox.c in libqb before 2.0.8 allows a buffer overflow via long log messages because the header size is not considered.
CVSS3: 9.8
nvd
около 2 лет назад
log_blackbox.c in libqb before 2.0.8 allows a buffer overflow via long log messages because the header size is not considered.
CVSS3: 9.8
debian
около 2 лет назад
log_blackbox.c in libqb before 2.0.8 allows a buffer overflow via long ...
EPSS
Процентиль: 38%
0.00167
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2