Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04111

Опубликовано: 05 мар. 2024
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость функции protojson.Unmarshal() пакета golang-google-protobuf языка программирования Golang связана с бесконечный цикл при анмаршалинге определенных форм JSON. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
АО «ИВК»
The Go Project
ООО "Открытая мобильная платформа"
АО «НППКТ»
ООО «РусБИТех-Астра»

Наименование ПО

РЕД ОС
АЛЬТ СП 10
golang-google-protobuf
Аврора Центр
ОСОН ОСнова Оnyx
Платформа контейнеризации «Боцман»

Версия ПО

7.3 (РЕД ОС)
- (АЛЬТ СП 10)
до 1.33.0 (golang-google-protobuf)
до 5.1.0 включительно (Аврора Центр)
до 3.1 (ОСОН ОСнова Оnyx)
до 1.4.1 (Платформа контейнеризации «Боцман»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» АЛЬТ СП 10 -
АО «НППКТ» ОСОН ОСнова Оnyx до 3.1
ООО «РусБИТех-Астра» Платформа контейнеризации «Боцман» до 1.4.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,9)

Возможные меры по устранению уязвимости

Для golang-google-protobuf:
https://go-review.googlesource.com/c/protobuf/+/569356
https://pkg.go.dev/vuln/GO-2024-2611
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для Аврора Центр:
Обновить ППО ""Аврора Центр"" до версии 5.3.0 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения golang-google-protobuf до версии 1.36.5-1
Для платформы контейнеризации «Боцман»:
обновление программного обеспечения, применение оперативного обновления платформы контейнеризации «Боцман» 1.4.1, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 66%
0.01262
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240522-06

CVSS3: 5.9
redos
около 2 лет назад

Уязвимость golang-google-protobuf

redos логотип

ROS-20240826-13

CVSS3: 7.5
redos
почти 2 года назад

Множественные уязвимости etcd

redos логотип

ROS-20240805-08

CVSS3: 7.5
redos
почти 2 года назад

Множественные уязвимости consul

ubuntu логотип

CVE-2024-24786

CVSS3: 7.5
ubuntu
больше 2 лет назад

The protojson.Unmarshal function can enter an infinite loop when unmarshaling certain forms of invalid JSON. This condition can occur when unmarshaling into a message which contains a google.protobuf.Any value, or when the UnmarshalOptions.DiscardUnknown option is set.

redhat логотип

CVE-2024-24786

CVSS3: 5.9
redhat
больше 2 лет назад

The protojson.Unmarshal function can enter an infinite loop when unmarshaling certain forms of invalid JSON. This condition can occur when unmarshaling into a message which contains a google.protobuf.Any value, or when the UnmarshalOptions.DiscardUnknown option is set.

EPSS

Процентиль: 66%
0.01262
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Уязвимость BDU:2024-04111