СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
14.03.2023

Уязвимость BDU:2023-07470

Уязвимость BDU:2023-07470

Идентификатор: BDU:2023-07470.

Наименование уязвимости: Уязвимость утилиты dmidecode операционной системы Linux, позволяющая нарушителю повысить свои привилегий.

Описание уязвимости: Уязвимость утилиты dmidecode операционной системы Linux связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегий
Уязвимое ПО: Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Операционная система Debian GNU/Linux 10 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP2 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1 | Операционная система АО «НТЦ ИТ РОСА» РОСА Кобальт — | Операционная система Debian GNU/Linux 11 | Операционная система Debian GNU/Linux 12 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система Novell Inc. OpenSUSE Leap 15.4 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP2 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP1 | Операционная система Novell Inc. openSUSE Leap Micro 5.2 | Операционная система Novell Inc. openSUSE Leap Micro 5.3 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP5 | Операционная система Novell Inc. openSUSE Leap Micro 5.4 | Прикладное ПО информационных систем Dmidecode до 3.5 |

Наименование ОС и тип аппаратной платформы: Suse Linux Enterprise Desktop 12 SP3 | Suse Linux Enterprise Desktop 12 SP4 | SUSE Linux Enterprise Server for SAP Applications 12 SP2 | SUSE Linux Enterprise Server for SAP Applications 12 SP3 | SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Suse Linux Enterprise Server 12 SP3 | Suse Linux Enterprise Server 12 SP4 | Red Hat Enterprise Linux 8 | Suse Linux Enterprise Server 12 SP2-BCL | Suse Linux Enterprise Server 12 SP2-ESPOS | SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Suse Linux Enterprise Server 12 SP2-LTSS | Suse Linux Enterprise Server 12 SP3-LTSS | Suse Linux Enterprise Server 12 SP3-BCL | Suse Linux Enterprise Server 12 SP5 | SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Debian GNU/Linux 10 | Suse Linux Enterprise Server 12 SP3-ESPOS | Suse Linux Enterprise Desktop 12 SP2 | Suse Linux Enterprise Server 12 SP2 | Suse Linux Enterprise Server 12 SP4-ESPOS | Suse Linux Enterprise Server 12 SP4-LTSS | Suse Linux Enterprise Server 15 SP1-BCL | Suse Linux Enterprise Server 15 SP1-LTSS | Suse Linux Enterprise Server 15 SP1 | РОСА Кобальт — | Debian GNU/Linux 11 | Debian GNU/Linux 12 | РЕД ОС 73 | OpenSUSE Leap 154 | Suse Linux Enterprise Server 15 SP3 | SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Suse Linux Enterprise Desktop 15 SP3 | Suse Linux Enterprise Server 15 SP2 | SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Альт 8 СП — | Suse Linux Enterprise Server 15 SP4 | Suse Linux Enterprise Desktop 15 SP2 | Suse Linux Enterprise Desktop 15 SP4 | Suse Linux Enterprise Server 15 SP2-BCL | SUSE Linux Enterprise Server for SAP Applications 15 SP4 | Red Hat Enterprise Linux 9 | Suse Linux Enterprise Server 15 SP2-LTSS | Suse Linux Enterprise Desktop 15 SP1 | openSUSE Leap Micro 52 | openSUSE Leap Micro 53 | Suse Linux Enterprise Server 15 SP3-LTSS | Suse Linux Enterprise Server 15 SP3-BCL | SUSE Linux Enterprise Server for SAP Applications 15 SP5 | Suse Linux Enterprise Server 15 SP5 | Suse Linux Enterprise Desktop 15 SP5 | openSUSE Leap Micro 54 |
Дата выявления: 14.03.2023.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:N/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению:
Использование рекомендаций:

Для dmidecode:
https://lists.nongnu.org/archive/html/dmidecode-devel/2023-03/msg00003.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-30630

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-30630.html

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-30630

Для Альт 8 СП:
https://cve.basealt.ru/report-28042023-c9f2.html

Для РОСА Кобальт:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2282

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-30630. ROSA-SA-2023-2282.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://lists.nongnu.org/archive/html/dmidecode-devel/2023-03/msg00003.html
https://git.savannah.nongnu.org/cgit/dmidecode.git/commit/?id=6ca381c1247c81f74e1ca4e7706f70bdda72e6f2
https://git.savannah.nongnu.org/cgit/dmidecode.git/commit/?id=d8cfbc808f387e87091c25e7d5b8c2bb348bb206
https://github.com/adamreiser/dmiwrite
https://access.redhat.com/security/cve/cve-2023-30630
https://www.suse.com/security/cve/CVE-2023-30630.html
https://security-tracker.debian.org/tracker/CVE-2023-30630
https://safe-surf.ru/upload/VULN-new/VULN.2023-04-24.1.pdf
https://cve.basealt.ru/report-28042023-c9f2.html
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2282
https://altsp.su/obnovleniya-bezopasnosti/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: