CVE-2023-4911: Выполнение произвольного кода в Ubuntu, Debian Linux, Fedora

Выполнение произвольного кода в Ubuntu, Debian Linux, Fedora

Уязвимое программное обеспечение

• Ubuntu, Debian Linux, Fedora:
• Ubuntu: 22.04 - 23.04
• libc6 (Ubuntu package): before 2.37-0ubuntu2.1
• Debian Linux: All versions
• glibc (Debian package): before 2.36-9+deb12u3
• Fedora: 39
• glibc: before 2.38-6.fc39
• Fedora: 37
• glibc: before 2.36-14.fc37
• Fedora: 38
• glibc: before 2.37-10.fc38

Последствия эксплуатации

ACE: Выполнение произвольного кода

Common Vulnerability Scoring System

Рейтинг: ВЫСОКИЙ
Оценка: 7.8
Вектор: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Метод эксплуатации

Отправка специально сформированного запроса.

Уменьшение последствий

Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Common Weakness Enumeration

CWE: 119
Описание:Выполнение операций за пределами буфера памяти

Ссылки

• http://www.qualys.com/2023/10/03/cve-2023-4911/looney-tunables-local-privilege-escalation-glibc-ld-so.txt
• http://ubuntu.com/security/notices/USN-6409-1
• http://www.debian.org/security/2023/dsa-5514
• http://bodhi.fedoraproject.org/updates/FEDORA-2023-63e5a77522
• http://bodhi.fedoraproject.org/updates/FEDORA-2023-028062484e
• http://bodhi.fedoraproject.org/updates/FEDORA-2023-2b8c11ee75