Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07439

Опубликовано: 05 авг. 2024
Источник: fstec
CVSS3: 7.4
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость протокол NBD библиотеки libnbd связана с неправильной проверкой сертификата сервера NBD при использовании TLS для подключения к серверу NBD. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию и оказать воздействие на целостность системы

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
ООО «РусБИТех-Астра»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
ROSA Virtualization
Astra Linux Special Edition
libnbd
ROSA Virtualization 3.0

Версия ПО

8 (Red Hat Enterprise Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
8 Advanced Virtualization (Red Hat Enterprise Linux)
9 (Red Hat Enterprise Linux)
2.1 (ROSA Virtualization)
1.8 (Astra Linux Special Edition)
от 1.18.0 до 1.21.0 включительно (libnbd)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 8 Advanced Virtualization
Red Hat Inc. Red Hat Enterprise Linux 9
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,4)

Возможные меры по устранению уязвимости

Для libnbd:
https://gitlab.com/nbdkit/libnbd/-/commit/87ef41b69929d5d293390ec36b1c10aba2c9a57a
https://gitlab.com/nbdkit/libnbd/-/commit/6ed47a27d14f6f11946bb096d94e5bf21d97083d
https://gitlab.com/nbdkit/libnbd/-/commit/5ff09cdbbd19226dd2d5015d76134f88dee9321e
https://gitlab.com/nbdkit/libnbd/-/commit/7a45b5db68c59cc620ba328f0ebec1e7058cd95a
https://gitlab.com/nbdkit/libnbd/-/commit/e62185645c4d1a833d40aa79f3fee4ed477827c2
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-7383
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-7383
Для ОС Astra Linux:
обновить пакет libnbd до 1.14.2-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2956
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2961

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 45%
0.00222
Низкий

7.4 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-7383

CVSS3: 7.4
ubuntu
около 1 года назад

A flaw was found in libnbd. The client did not always correctly verify the NBD server's certificate when using TLS to connect to an NBD server. This issue allows a man-in-the-middle attack on NBD traffic.

redhat логотип

CVE-2024-7383

CVSS3: 7.4
redhat
больше 1 года назад

A flaw was found in libnbd. The client did not always correctly verify the NBD server's certificate when using TLS to connect to an NBD server. This issue allows a man-in-the-middle attack on NBD traffic.

nvd логотип

CVE-2024-7383

CVSS3: 7.4
nvd
около 1 года назад

A flaw was found in libnbd. The client did not always correctly verify the NBD server's certificate when using TLS to connect to an NBD server. This issue allows a man-in-the-middle attack on NBD traffic.

msrc логотип

CVE-2024-7383

CVSS3: 7.4
msrc
12 месяцев назад

Описание отсутствует

debian логотип

CVE-2024-7383

CVSS3: 7.4
debian
около 1 года назад

A flaw was found in libnbd. The client did not always correctly verify ...

EPSS

Процентиль: 45%
0.00222
Низкий

7.4 High

CVSS3

7.1 High

CVSS2

Уязвимость BDU:2024-07439