Уязвимость BDU:2024-02317

Идентификатор: BDU:2024-02317.
Наименование уязвимости: Уязвимость реализации сервера сетевой файловой системы NFS операционных систем FreeBSD и OpenBSD, позволяющая нарушителю выполнить произвольный код с root-привилегиями.
Описание уязвимости: Уязвимость реализации сервера сетевой файловой системы NFS операционных систем FreeBSD и OpenBSD связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями
Уязвимое ПО: Операционная система OpenBSD Project OpenBSD до 7.4 включительно | Операционная система FreeBSD Project FreeBSD до 14.0-RELEASE включительно |
Наименование ОС и тип аппаратной платформы: OpenBSD до 74 включительно | FreeBSD до 140-RELEASE включительно |
Дата выявления: 25.03.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)
Возможные меры по устранению:
Компенсирующие меры:
— отключение/удаление неиспользуемых учётных записей пользователей;
— минимизация пользовательских привилегий;
— отключение NFS;
— использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа..
Статус уязвимости: Потенциальная уязвимость
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2024-29937.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://securityonline.info/cve-2024-29937-critical-nfs-vulnerability-exposes-bsd-systems-to-remote-code-execution/
https://www.opennet.ru/opennews/art.shtml?num=60845
https://youtu.be/i_JOkHaCdzk



