Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02723

Опубликовано: 15 фев. 2024
Источник: fstec
CVSS3: 3.7
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость утилиты командной строки cURL связана с ошибками логике удаления протоколов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации

Вендор

АО «ИВК»
Дэниел Стенберг
АО "НППКТ"
ООО «РусБИТех-Астра»

Наименование ПО

Альт 8 СП
АЛЬТ СП 10
cURL
ОСОН ОСнова Оnyx
Astra Linux Special Edition

Версия ПО

- (Альт 8 СП)
- (АЛЬТ СП 10)
от 7.85.0 до 8.6.0 включительно (cURL)
до 2.10.1 (ОСОН ОСнова Оnyx)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП -
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10.1
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://curl.se/docs/CVE-2024-2004.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u6.osnova1
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Astra Linux:
обновить пакет curl до 7.88.1-10+deb12u8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 68%
0.00601
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20240708-01

CVSS3: 4.3
redos
12 месяцев назад

Множественные уязвимости curl

ubuntu логотип

CVE-2024-2004

CVSS3: 3.5
ubuntu
около 1 года назад

When a protocol selection parameter option disables all protocols without adding any then the default set of protocols would remain in the allowed set due to an error in the logic for removing protocols. The below command would perform a request to curl.se with a plaintext protocol which has been explicitly disabled. curl --proto -all,-http http://curl.se The flaw is only present if the set of selected protocols disables the entire set of available protocols, in itself a command with no practical use and therefore unlikely to be encountered in real situations. The curl security team has thus assessed this to be low severity bug.

redhat логотип

CVE-2024-2004

CVSS3: 5.3
redhat
около 1 года назад

When a protocol selection parameter option disables all protocols without adding any then the default set of protocols would remain in the allowed set due to an error in the logic for removing protocols. The below command would perform a request to curl.se with a plaintext protocol which has been explicitly disabled. curl --proto -all,-http http://curl.se The flaw is only present if the set of selected protocols disables the entire set of available protocols, in itself a command with no practical use and therefore unlikely to be encountered in real situations. The curl security team has thus assessed this to be low severity bug.

nvd логотип

CVE-2024-2004

CVSS3: 3.5
nvd
около 1 года назад

When a protocol selection parameter option disables all protocols without adding any then the default set of protocols would remain in the allowed set due to an error in the logic for removing protocols. The below command would perform a request to curl.se with a plaintext protocol which has been explicitly disabled. curl --proto -all,-http http://curl.se The flaw is only present if the set of selected protocols disables the entire set of available protocols, in itself a command with no practical use and therefore unlikely to be encountered in real situations. The curl security team has thus assessed this to be low severity bug.

msrc логотип

CVE-2024-2004

CVSS3: 3.5
msrc
9 месяцев назад

Описание отсутствует

EPSS

Процентиль: 68%
0.00601
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2