Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10906

Опубликовано: 07 нояб. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость метода instance_create() программы для мониторинга и адаптивной настройки системных устройств tuned связана с недостаточной проверкой входных данных при обработке параметра instance_name. Эксплуатация уязвимости может позволить нарушителю проводить спуфинг-атаки

Вендор

Red Hat Inc.
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
ООО «НЦПР»

Наименование ПО

Red Hat Enterprise Linux
Fast Datapath
РЕД ОС
РОСА Кобальт
Tuned
МСВСфера

Версия ПО

8 (Red Hat Enterprise Linux)
- (Fast Datapath)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
7.9 (РОСА Кобальт)
7 Extended Lifecycle Support (Red Hat Enterprise Linux)
от 2.23.0 до 2.24.1 (Tuned)
9.5 (МСВСфера)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
Red Hat Inc. Red Hat Enterprise Linux 7 Extended Lifecycle Support
ООО «НЦПР» МСВСфера 9.5

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Tuned:
https://github.com/redhat-performance/tuned/releases/tag/v2.24.1
https://github.com/redhat-performance/tuned/commit/90c24eea037c7a5e9414c93f8fb3e549ed4a7b06
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-52337
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2561
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2561
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:10384?lang=ru

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 9%
0.00033
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250110-04

CVSS3: 7.8
redos
около 1 года назад

Множественные уязвимости tuned

ubuntu логотип

CVE-2024-52337

CVSS3: 5.5
ubuntu
около 1 года назад

A log spoofing flaw was found in the Tuned package due to improper sanitization of some API arguments. This flaw allows an attacker to pass a controlled sequence of characters; newlines can be inserted into the log. Instead of the 'evil' the attacker could mimic a valid TuneD log line and trick the administrator. The quotes '' are usually used in TuneD logs citing raw user input, so there will always be the ' character ending the spoofed input, and the administrator can easily overlook this. This logged string is later used in logging and in the output of utilities, for example, `tuned-adm get_instances` or other third-party programs that use Tuned's D-Bus interface for such operations.

redhat логотип

CVE-2024-52337

CVSS3: 5.5
redhat
около 1 года назад

A log spoofing flaw was found in the Tuned package due to improper sanitization of some API arguments. This flaw allows an attacker to pass a controlled sequence of characters; newlines can be inserted into the log. Instead of the 'evil' the attacker could mimic a valid TuneD log line and trick the administrator. The quotes '' are usually used in TuneD logs citing raw user input, so there will always be the ' character ending the spoofed input, and the administrator can easily overlook this. This logged string is later used in logging and in the output of utilities, for example, `tuned-adm get_instances` or other third-party programs that use Tuned's D-Bus interface for such operations.

nvd логотип

CVE-2024-52337

CVSS3: 5.5
nvd
около 1 года назад

A log spoofing flaw was found in the Tuned package due to improper sanitization of some API arguments. This flaw allows an attacker to pass a controlled sequence of characters; newlines can be inserted into the log. Instead of the 'evil' the attacker could mimic a valid TuneD log line and trick the administrator. The quotes '' are usually used in TuneD logs citing raw user input, so there will always be the ' character ending the spoofed input, and the administrator can easily overlook this. This logged string is later used in logging and in the output of utilities, for example, `tuned-adm get_instances` or other third-party programs that use Tuned's D-Bus interface for such operations.

msrc логотип

CVE-2024-52337

CVSS3: 5.5
msrc
около 1 года назад

Описание отсутствует

EPSS

Процентиль: 9%
0.00033
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2