BDU:2024-03171
Оценки
EPSS
Процентиль: 0.0%
CVSS
Оценка CVSS: 8.8/10
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Требуемые привилегии
Низкие (L)
Описывает уровень привилегий, которыми должен обладать атакующий
Взаимодействие с пользователем
Отсутствует (N)
Отражает требование участия человека в атаке
Область воздействия
Неизменная (U)
Определяет, влияет ли успешная атака на компоненты за пределами уязвимого компонента
Воздействие на конфиденциальность
Высокое (H)
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Высокое (H)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Высокое (H)
Измеряет воздействие на доступность затронутого компонента
Вектор: AV:N/AC:L/Au:S/C:C/I:C/A:C
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Аутентификация
Single
Описывает уровень привилегий, которыми должен обладать атакующий
Воздействие на конфиденциальность
Complete
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Complete
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Complete
Измеряет воздействие на доступность затронутого компонента
Описание
Уязвимость функции iconv() системной библиотеки glibc связана с возможностью записи за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, потенциально выполнить произвольный код путём внедрения специально сформированного PHP-файла.
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
Связанные уязвимости
Эксплойты
ID эксплойта: CVE-2024-2961
Источник: github-poc
URL: https://github.com/suce0155/CVE-2024-2961_buddyforms_2.7.7
Справочные ссылки
Рекомендации
Источник: bdu
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимостей;
- использование средств обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций производителя:
Для glibc:
https://sourceware.org/git/?p=glibc.git;a=blob;f=advisories/GLIBC-SA-2024-0004
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-2961
Для программных продуктов Novell Inc.:
https://www.suse.com/de-de/security/cve/CVE-2024-2961.html
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-2961
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-2961
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения glibc до версии 2.28-10+deb10u2.osnova3
Для ОС Astra Linux:
обновить пакет glibc до 2.28-10+deb10u3+ci202406111043+astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Аврора:
https://cve.omp.ru/bb25402
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет glibc до 2.24-11+deb9u7+ci202410071731+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет glibc до 2.28-10+deb10u3+ci202406111043+astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для RedCheck:
Обновление программного обеспечения RedСheck до версии 2.8 или более старше для Linux.
Уязвимое ПО (391)
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: astra 1.6
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: debian gnu/linux 10
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: ubuntu 22.04 LTS
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: suse linux enterprise desktop 15 SP5
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: осон основа оnyx *
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: ос аврора *
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: red hat enterprise linux 7
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: debian gnu/linux 12
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: astra 1.7
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: suse linux enterprise server for sap applications 15 SP3
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: astra 4.7
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: suse linux enterprise server 15 SP3-LTSS
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: fedora 38
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: suse linux enterprise server for sap applications 15 SP5
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: red hat enterprise linux 8
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: redos 7.3
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: suse linux enterprise server for sap applications 15 SP4
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: red hat enterprise linux 9
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: suse linux enterprise server 15 SP5
{ "version_exact": "7.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: novell inc.
Продукт: suse enterprise storage
Операционная система: ubuntu 22.04
{ "version_exact": "7.1"}
Источник: bdu