Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06679

Опубликовано: 27 апр. 2023
Источник: fstec
CVSS3: 4
CVSS2: 2.1
EPSS Низкий

Описание

Уязвимость двоичного архиватора cpio связана с регрессией при использовании параметра командной строки --no-absolute-filenames. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Альт 8 СП
АЛЬТ СП 10
cpio

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
- (АЛЬТ СП 10)
до 0.1041.0.47 до 1.3.32.0 до 2.32.6.20.12.7.59 (cpio)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4)

Возможные меры по устранению уязвимости

Для cpio:
https://git.savannah.gnu.org/cgit/cpio.git/commit/?id=376d663340a9dc91c91a5849e5713f07571c1628
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет cpio до 2.13+dfsg-7.1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 19%
0.00061
Низкий

4 Medium

CVSS3

2.1 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20240902-07

redos
больше 1 года назад

Уязвимость cpio

ubuntu логотип

CVE-2023-7207

CVSS3: 4.9
ubuntu
почти 2 года назад

Debian's cpio contains a path traversal vulnerability. This issue was introduced by reverting CVE-2015-1197 patches which had caused a regression in --no-absolute-filenames. Upstream has since provided a proper fix to --no-absolute-filenames.

redhat логотип

CVE-2023-7207

CVSS3: 5.5
redhat
около 2 лет назад

Debian's cpio contains a path traversal vulnerability. This issue was introduced by reverting CVE-2015-1197 patches which had caused a regression in --no-absolute-filenames. Upstream has since provided a proper fix to --no-absolute-filenames.

nvd логотип

CVE-2023-7207

CVSS3: 4.9
nvd
почти 2 года назад

Debian's cpio contains a path traversal vulnerability. This issue was introduced by reverting CVE-2015-1197 patches which had caused a regression in --no-absolute-filenames. Upstream has since provided a proper fix to --no-absolute-filenames.

msrc логотип

CVE-2023-7207

msrc
5 месяцев назад

Debian's cpio contains a path traversal vulnerability. This issue was introduced by reverting CVE-2015-1197 patches which had caused a regression in --no-absolute-filenames. Upstream has since provided a proper fix to --no-absolute-filenames.

EPSS

Процентиль: 19%
0.00061
Низкий

4 Medium

CVSS3

2.1 Low

CVSS2