BDU:2024-06936

Опубликовано: 14 авг. 2023

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость универсальной системы мониторинга Zabbix связана с неправильным присвоением разрешений для критичного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

АО «НТЦ ИТ РОСА»

Zabbix LLC.

АО «ИВК»

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

Astra Linux Special Edition

РОСА ХРОМ

Zabbix

АЛЬТ СП 10

ОСОН ОСнова Оnyx

ROSA Virtualization 3.0

Версия ПО

10 (Debian GNU/Linux)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

12.4 (РОСА ХРОМ)

от 5.0.0 до 5.0.36 включительно (Zabbix)

от 6.0.0 до 6.0.20 включительно (Zabbix)

от 6.4.0 до 6.4.5 включительно (Zabbix)

- (АЛЬТ СП 10)

до 2.11 (ОСОН ОСнова Оnyx)

от 7.0.0-alpha1 до 7.0.0-alpha3 включительно (Zabbix)

3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система

Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «ИВК» АЛЬТ СП 10 -

АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для Zabbix:

использование рекомендаций производителя: https://support.zabbix.com/browse/ZBX-23391

Для Debian:

использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-32724

Для ОС Astra Linux:

обновить пакет zabbix до 1:6.0.29+dfsg-1+ci202405271621+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения zabbix до версии 1:6.0.29+dfsg-1osnova1

Для Astra Linux Special Edition 4.7 для архитектуры ARM:

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2539

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2690

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-32724
CVE

EPSS

Процентиль: 72%

0.0072

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2023-32724

CVSS3: 9.1

ubuntu

больше 2 лет назад

Memory pointer is in a property of the Ducktape object. This leads to multiple vulnerabilities related to direct memory access and manipulation.

CVE-2023-32724

CVSS3: 9.1

nvd

больше 2 лет назад

Memory pointer is in a property of the Ducktape object. This leads to multiple vulnerabilities related to direct memory access and manipulation.

CVE-2023-32724

CVSS3: 9.1

debian

больше 2 лет назад

Memory pointer is in a property of the Ducktape object. This leads to ...

GHSA-w5wv-98xr-mhmx

CVSS3: 9.1

github

больше 2 лет назад

Memory pointer is in a property of the Ducktape object. This leads to multiple vulnerabilities related to direct memory access and manipulation.

EPSS

Процентиль: 72%

0.0072

Низкий

8.8 High

CVSS3

9 Critical

CVSS2