Уязвимость BDU:2024-06023

Идентификатор: BDU:2024-06023.

Наименование уязвимости: Уязвимость функции utf8asn1str() парсера ASN1 утилиты командной строки cURL, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции utf8asn1str() парсера ASN1 утилиты командной строки cURL связана с освобождением ранее не выделенной памяти при обработке строки ASN1 UTF-8. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Microsoft Corp. Windows 10 1809 | Операционная система Microsoft Corp. Windows 10 1809 | Операционная система Microsoft Corp. Windows Server 2019 | Операционная система Microsoft Corp. Windows Server 2019 Server Core installation | Операционная система Microsoft Corp. Windows Server 2022 | Операционная система Microsoft Corp. Windows Server 2022 Server Core installation | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система Microsoft Corp. Windows 10 21H2 | Операционная система Microsoft Corp. Windows 10 21H2 | Операционная система Microsoft Corp. Windows 10 21H2 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система Microsoft Corp. Windows 11 22H2 | Операционная система Microsoft Corp. Windows 11 22H2 | Операционная система Microsoft Corp. Windows 10 22H2 | Операционная система Microsoft Corp. Windows 10 22H2 | Операционная система Microsoft Corp. Windows 10 22H2 | Операционная система Microsoft Corp. Windows 11 21H2 | Операционная система Microsoft Corp. Windows 11 21H2 | Операционная система АО «ИВК» АЛЬТ СП 10 — | Операционная система Microsoft Corp. Windows 11 23H2 | Операционная система Microsoft Corp. Windows 11 23H2 | Операционная система Microsoft Corp. Windows Server 2022 23H2 Edition Server Core installation | Прикладное ПО информационных систем Дэниел Стенберг cURL от 8.6.0 до 8.8.0 включительно | Операционная система Microsoft Corp. Windows 11 24H2 | Операционная система Microsoft Corp. Windows 11 24H2 | Операционная система Microsoft Corp. CBL Mariner 2.0 | Операционная система Microsoft Corp. CBL Mariner 2.0 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 5.1.2 включительно | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 5.1.2 включительно | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 5.1.2 включительно |

Наименование ОС и тип аппаратной платформы: Windows 10 1809 64-bit | Windows 10 1809 32-bit | Windows Server 2019 | Windows Server 2019 Server Core installation | Windows Server 2022 | Windows Server 2022 Server Core installation | РЕД ОС 73 | Windows 10 21H2 64-bit | Windows 10 21H2 32-bit | Windows 10 21H2 ARM64 | Astra Linux Special Edition 17 | Альт 8 СП — | Astra Linux Special Edition 47 ARM | Windows 11 22H2 64-bit | Windows 11 22H2 ARM64 | Windows 10 22H2 64-bit | Windows 10 22H2 ARM64 | Windows 10 22H2 32-bit | Windows 11 21H2 64-bit | Windows 11 21H2 ARM64 | АЛЬТ СП 10 — | Windows 11 23H2 64-bit | Windows 11 23H2 ARM64 | Windows Server 2022 23H2 Edition Server Core installation | Windows 11 24H2 64-bit | Windows 11 24H2 ARM64 | CBL Mariner 20 64-bit | CBL Mariner 20 ARM | ОС Аврора до 512 включительно Mashtab TrustPhone T1 | ОС Аврора до 512 включительно Fplus T1100 | ОС Аврора до 512 включительно Fplus T800 |
Дата выявления: 19.06.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2024-6197.html
https://github.com/curl/curl/commit/3a537a4db9e65e545ec45b1b5d5575ee09a2569d
https://github.com/curl/curl/commit/3a537a4db9e65e545

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-6197

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет curl до 7.68.0-1ubuntu2.22+astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Аврора:
https://cve.omp.ru/bb25402.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-6197.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.openwall.com/lists/oss-security/2024/07/24/1
http://www.openwall.com/lists/oss-security/2024/07/24/5
https://curl.se/docs/CVE-2024-6197.html
https://curl.se/docs/CVE-2024-6197.json
https://hackerone.com/reports/2559516
https://github.com/curl/curl/commit/3a537a4db9e65e545ec45b1b5d5575ee09a2569d
https://github.com/curl/curl/commit/3a537a4db9e65e545
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-6197
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/
https://cve.omp.ru/bb25402