Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11323

Опубликовано: 27 нояб. 2024
Источник: fstec
CVSS3: 3.3
CVSS2: 2.1
EPSS Низкий

Описание

Уязвимость функции curl_write_cb() универсальной системы мониторинга Zabbix связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании (DoS)

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
Zabbix LLC.

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Zabbix

Версия ПО

7.3 (РЕД ОС)
4.7 (Astra Linux Special Edition)
до 7.0.4 rc1 (Zabbix)

Тип ПО

Операционная система
Программное средство защиты

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,7)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,3)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Zabbix:
https://support.zabbix.com/browse/ZBX-25624
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет zabbix до 1:7.0.5+dfsg-1~bpo12+1+ci202412201414+astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 8%
0.00033
Низкий

3.3 Low

CVSS3

2.1 Low

CVSS2

Связанные уязвимости

CVSS3: 3.3
ubuntu
8 месяцев назад

When the webdriver for the Browser object downloads data from a HTTP server, the data pointer is set to NULL and is allocated only in curl_write_cb when receiving data. If the server's response is an empty document, then wd->data in the code below will remain NULL and an attempt to read from it will result in a crash.

CVSS3: 3.3
nvd
8 месяцев назад

When the webdriver for the Browser object downloads data from a HTTP server, the data pointer is set to NULL and is allocated only in curl_write_cb when receiving data. If the server's response is an empty document, then wd->data in the code below will remain NULL and an attempt to read from it will result in a crash.

CVSS3: 3.3
debian
8 месяцев назад

When the webdriver for the Browser object downloads data from a HTTP s ...

CVSS3: 3.3
github
8 месяцев назад

When the webdriver for the Browser object downloads data from a HTTP server, the data pointer is set to NULL and is allocated only in curl_write_cb when receiving data. If the server's response is an empty document, then wd->data in the code below will remain NULL and an attempt to read from it will result in a crash.

CVSS3: 8.8
redos
8 месяцев назад

Множественные уязвимости zabbix7-lts-server-pgsql

EPSS

Процентиль: 8%
0.00033
Низкий

3.3 Low

CVSS3

2.1 Low

CVSS2