BDU:2024-04626

Опубликовано: 08 июн. 2024

Источник: fstec

CVSS3: 6.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость библиотеки libarchive связана с чтением за границами буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи специально созданного архива

Вендор

Novell Inc.

Сообщество свободного программного обеспечения

АО «ИВК»

Наименование ПО

OpenSUSE Leap

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise High Performance Computing

Debian GNU/Linux

Альт 8 СП

SUSE Manager Retail Branch Server

SUSE Manager Proxy

SUSE Manager Server

SUSE Enterprise Storage

SUSE Linux Enterprise Micro

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Module for Basesystem

SUSE Linux Enterprise Module for Development Tools

libarchive

Версия ПО

15.5 (OpenSUSE Leap)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

12 SP5 (SUSE Linux Enterprise High Performance Computing)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

- (Альт 8 СП)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Proxy)

4.3 (SUSE Manager Server)

7.1 (SUSE Enterprise Storage)

5.3 (SUSE Linux Enterprise Micro)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Basesystem)

15 SP5 (SUSE Linux Enterprise Module for Development Tools)

5.4 (SUSE Linux Enterprise Micro)

5.5 (SUSE Linux Enterprise Micro)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15 SP6 (SUSE Linux Enterprise High Performance Computing)

15 SP6 (SUSE Linux Enterprise Module for Basesystem)

15.6 (OpenSUSE Leap)

до 3.7.4 (libarchive)

15 SP6 (SUSE Linux Enterprise Module for Development Tools)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое средство

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.5

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

АО «ИВК» Альт 8 СП -

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP6

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Novell Inc. OpenSUSE Leap 15.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для libarchive:

https://github.com/libarchive/libarchive/releases/tag/v3.7.4

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-37407

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2024-37407.html

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-37407
CVE

EPSS

Процентиль: 58%

0.00372

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2024-37407

CVSS3: 9.1

ubuntu

больше 1 года назад

Libarchive before 3.7.4 allows name out-of-bounds access when a ZIP archive has an empty-name file and mac-ext is enabled. This occurs in slurp_central_directory in archive_read_support_format_zip.c.

CVE-2024-37407

CVSS3: 8.8

redhat

больше 1 года назад

Libarchive before 3.7.4 allows name out-of-bounds access when a ZIP archive has an empty-name file and mac-ext is enabled. This occurs in slurp_central_directory in archive_read_support_format_zip.c.

CVE-2024-37407

CVSS3: 9.1

nvd

больше 1 года назад

Libarchive before 3.7.4 allows name out-of-bounds access when a ZIP archive has an empty-name file and mac-ext is enabled. This occurs in slurp_central_directory in archive_read_support_format_zip.c.

CVE-2024-37407

CVSS3: 9.1

msrc

больше 1 года назад

Описание отсутствует

CVE-2024-37407

CVSS3: 9.1

debian

больше 1 года назад

Libarchive before 3.7.4 allows name out-of-bounds access when a ZIP ar ...

EPSS

Процентиль: 58%

0.00372

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2