Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04296

Опубликовано: 21 апр. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции ComposeQueryMallocExMm() (riQuery.c) парсера Uriparser связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

ООО «РусБИТех-Астра»
Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Fedora Project
АО «ИВК»
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
OpenSUSE Leap
Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
openSUSE Tumbleweed
РЕД ОС
Fedora
АЛЬТ СП 10
Uriparser
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
15.5 (OpenSUSE Leap)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
38 (Fedora)
39 (Fedora)
- (АЛЬТ СП 10)
40 (Fedora)
15.6 (OpenSUSE Leap)
до 0.9.8 (Uriparser)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. OpenSUSE Leap 15.5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Fedora Project Fedora 38
Fedora Project Fedora 39
АО «ИВК» АЛЬТ СП 10 -
Fedora Project Fedora 40
Novell Inc. OpenSUSE Leap 15.6
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Uriparser:
обновление парсера до версии 0.9.8 и выше
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-34403
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-34403.html
Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CZ6KEUQXWCTYXGTBMZDD7CHJCYI52XY3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UG4J7PD475LSCGCSHFU4GMU4TWLDSNW2/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5R36L762D3KX3GA66OOPWW7M7KKDRXDP/
Для ОС Astra Linux:
обновить пакет uriparser до 0.9.1-1+deb10u1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет uriparser до 0.8.4-1+deb9u4+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет uriparser до 0.9.1-1+deb10u1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для ОС Astra Linux:
обновить пакет uriparser до 0.8.4-1+deb9u4+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Обновление программного обеспечения uriparser до версии 0.9.1-1+deb10u1osnova2u1
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00352
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20250827-01

CVSS3: 9.8
redos
7 месяцев назад

Уязвимость uriparser

ubuntu логотип

CVE-2024-34403

CVSS3: 5.9
ubuntu
почти 2 года назад

An issue was discovered in uriparser through 0.9.7. ComposeQueryMallocExMm in UriQuery.c has an integer overflow via a long string.

redhat логотип

CVE-2024-34403

CVSS3: 5.5
redhat
почти 2 года назад

An issue was discovered in uriparser through 0.9.7. ComposeQueryMallocExMm in UriQuery.c has an integer overflow via a long string.

nvd логотип

CVE-2024-34403

CVSS3: 5.9
nvd
почти 2 года назад

An issue was discovered in uriparser through 0.9.7. ComposeQueryMallocExMm in UriQuery.c has an integer overflow via a long string.

msrc логотип

CVE-2024-34403

CVSS3: 5.9
msrc
около 1 года назад

An issue was discovered in uriparser through 0.9.7. ComposeQueryMallocExMm in UriQuery.c has an integer overflow via a long string.

EPSS

Процентиль: 58%
0.00352
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2