Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02776

Опубликовано: 27 дек. 2023
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость пакета shadow-utils связана с запросом пароля дважды и отсутствием очистки буфера памяти. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к паролям пользователя

Вендор

Red Hat Inc.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
РЕД ОС
Astra Linux Special Edition
РОСА ХРОМ
Shadow-utils
ОСОН ОСнова Оnyx

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
9 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
8.6 Extended Update Support (Red Hat Enterprise Linux)
12.4 (РОСА ХРОМ)
до 4.14.0 (Shadow-utils)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Для Shadow-utils:
https://github.com/shadow-maint/shadow/commit/65c88a43a23c2391dcc90c0abda3e839e9c57904
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-4641
Для ОС Astra Linux:
обновить пакет shadow до 1:4.13+dfsg1-1.astra.se11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет shadow до 1:4.13+dfsg1-1.astra.se11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2609
Обновление программного обеспечения shadow до версии 1:4.8.1-1+deb11u1.osnova2u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 2%
0.00015
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240409-07

CVSS3: 5.5
redos
почти 2 года назад

Уязвимость shadow-utils

ubuntu логотип

CVE-2023-4641

CVSS3: 4.7
ubuntu
около 2 лет назад

A flaw was found in shadow-utils. When asking for a new password, shadow-utils asks the password twice. If the password fails on the second attempt, shadow-utils fails in cleaning the buffer used to store the first entry. This may allow an attacker with enough access to retrieve the password from the memory.

redhat логотип

CVE-2023-4641

CVSS3: 4.7
redhat
больше 2 лет назад

A flaw was found in shadow-utils. When asking for a new password, shadow-utils asks the password twice. If the password fails on the second attempt, shadow-utils fails in cleaning the buffer used to store the first entry. This may allow an attacker with enough access to retrieve the password from the memory.

nvd логотип

CVE-2023-4641

CVSS3: 4.7
nvd
около 2 лет назад

A flaw was found in shadow-utils. When asking for a new password, shadow-utils asks the password twice. If the password fails on the second attempt, shadow-utils fails in cleaning the buffer used to store the first entry. This may allow an attacker with enough access to retrieve the password from the memory.

msrc логотип

CVE-2023-4641

CVSS3: 5.5
msrc
9 месяцев назад

Описание отсутствует

EPSS

Процентиль: 2%
0.00015
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2