Описание
Множественные уязвимости c-ares
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета c-ares или Установить обновление для пакета(ов) c-ares
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
04.04.2024
CVE-2023-31130
Идентификатор БДУ ФСТЭК России:
BDU:2023-07647Описание уязвимости:
Уязвимость функции ares_inet_net_pton() библиотеки асинхронных DNS-запросов C-ares связана с нарушением начальной границы буфера. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
6.4 Medium
CVSS3
5.9 Medium
CVSS2
CVE-2023-31124
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость компонента autotools CARES_RANDOM_FILE библиотеки асинхронных DNS-запросов C-ares связана с использованием rand() в качестве запасного варианта, который может позволить злоумышленнику воспользоваться отсутствием энтропии, не используя CSPRNG.. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию
3.7 Low
CVSS3
2.6 Low
CVSS2