СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Уязвимости
ФСТЭК России
24.06.2024

Уязвимость BDU:2024-04915

Уязвимость BDU:2024-04915

Идентификатор: BDU:2024-04915.

Наименование уязвимости: Уязвимость реализации стека протоколов TCP /IP FreeRTOS-Plus-TCP операционной системы реального времени FreeRTOS, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость реализации стека протоколов TCP /IP FreeRTOS-Plus-TCP операционной системы реального времени FreeRTOS связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём отправки специально сформированного DNS-сообщения
Уязвимое ПО: Прикладное ПО информационных систем, Микропрограммный код Amazon Web Services, Inc. FreeRTOS Plus TCP от 4.0.0 до 4.1.1 | Операционная система Amazon Web Services, Inc. FreeRTOS — |

Наименование ОС и тип аппаратной платформы: FreeRTOS — |
Дата выявления: 24.06.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— минимизация пользовательских привилегий;
— отключение/удаление неиспользуемых учётных записей пользователей;
— использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости;
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа.

Использование рекомендаций производителя:
https://github.com/FreeRTOS/FreeRTOS-Plus-TCP/releases/tag/V4.1.1
https://github.com/FreeRTOS/FreeRTOS-Plus-TCP/security/advisories/GHSA-ppcp-rg65-58mv.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-38373.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/FreeRTOS/FreeRTOS-Plus-TCP/releases/tag/V4.1.1
https://github.com/FreeRTOS/FreeRTOS-Plus-TCP/security/advisories/GHSA-ppcp-rg65-58mv

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: