Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01678

Опубликовано: 13 фев. 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функции run() сценария ipautil.py сервера FreeIPA связана с недостаточной проверкой входных данных в процессе установления сеанса при обработке параметра user (/sip/session/login_password). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании путем отправки специально созданных HTTP-запросов

Вендор

ООО «Ред Софт»
АО «ИВК»
Fedora Project
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
Альт 8 СП
Fedora
АЛЬТ СП 10
FreeIPA

Версия ПО

7.3 (РЕД ОС)
- (Альт 8 СП)
39 (Fedora)
- (АЛЬТ СП 10)
40 (Fedora)
от 4.6.0 до 4.6.10 (FreeIPA)
от 4.9.0 до 4.9.14 (FreeIPA)
от 4.10.0 до 4.10.3 (FreeIPA)
от 4.11.0 до 4.11.1 (FreeIPA)
41 (Fedora)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 39
АО «ИВК» АЛЬТ СП 10 -
Fedora Project Fedora 40
Fedora Project Fedora 41

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для FreeIPA:
https://pagure.io/freeipa/releases
https://releases.pagure.org/freeipa/
https://github.com/freeipa/freeipa/tags
https://pagure.io/freeipa/c/204011dc0514681511275a4b70a13bfa85c1a538.patch
https://pagure.io/freeipa/c/404fe1018e08e546fd14c83741e00b900c1cd208
https://pagure.io/freeipa/c/33af154b7f2c92e199d10a36a48310da9b7e77a8
https://pagure.io/freeipa/issue/9541
https://pagure.io/freeipa/c/e4628c4573661afb10bdc81f8739e7004849d246
https://pagure.io/freeipa/c/09c3b322aa9d942bc3e04a725323821d19bac0eb
https://pagure.io/freeipa/c/b039f3087a13de3f34b230dbe29a7cfb1965700d
https://pagure.io/freeipa/c/96a478bbedd49c31e0f078f00f2d1cb55bb952fd
https://pagure.io/freeipa/c/921661fd460799da69043e06e058cff75a64ce3c
https://pagure.io/freeipa/c/204011dc0514681511275a4b70a13bfa85c1a538
https://pagure.io/freeipa/c/8b598814d1e51466ebbe3e0a392af92370d0c93b
https://pagure.io/freeipa/c/5781369e78fd83cee64a4d306198423c7a126ba0
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2024-826453ad39
https://bodhi.fedoraproject.org/updates/FEDORA-2024-9fc8015fa9
https://bodhi.fedoraproject.org/updates/FEDORA-2024-d7b9fbb2a5
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%
0.00253
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-1481

CVSS3: 5.3
ubuntu
больше 1 года назад

A flaw was found in FreeIPA. This issue may allow a remote attacker to craft a HTTP request with parameters that can be interpreted as command arguments to kinit on the FreeIPA server, which can lead to a denial of service.

redhat логотип

CVE-2024-1481

CVSS3: 5.3
redhat
больше 1 года назад

A flaw was found in FreeIPA. This issue may allow a remote attacker to craft a HTTP request with parameters that can be interpreted as command arguments to kinit on the FreeIPA server, which can lead to a denial of service.

nvd логотип

CVE-2024-1481

CVSS3: 5.3
nvd
больше 1 года назад

A flaw was found in FreeIPA. This issue may allow a remote attacker to craft a HTTP request with parameters that can be interpreted as command arguments to kinit on the FreeIPA server, which can lead to a denial of service.

debian логотип

CVE-2024-1481

CVSS3: 5.3
debian
больше 1 года назад

A flaw was found in FreeIPA. This issue may allow a remote attacker to ...

github логотип

GHSA-5g67-qx42-9m78

CVSS3: 5.3
github
больше 1 года назад

A flaw was found in FreeIPA. This issue may allow a remote attacker to craft a HTTP request with parameters that can be interpreted as command arguments to kinit on the FreeIPA server, which can lead to a denial of service.

EPSS

Процентиль: 48%
0.00253
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2