BDU:2024-06486

Опубликовано: 31 июл. 2024

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость SLP UDP-сервера slpd-lite операционной системы OpenBMC связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на конфиденциальность, целостность и доступность путём отправки специально сформированного slp-пакета

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

OpenBMC

slpd-lite

Версия ПО

- (OpenBMC)

- (slpd-lite)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения OpenBMC -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;

- ограничение возможности отправки slp-пакетов по 427 UDP-порту;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

https://github.com/openbmc/slpd-lite/commit/20bab74865ba955921eb0e4e427c84e37e1c8916

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-41660
CVE

EPSS

Процентиль: 29%

0.00108

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-41660