Уязвимость BDU:2024-09800

Идентификатор: BDU:2024-09800.
Наименование уязвимости: Уязвимость реализации клиента и сервера сетевой файловой системы (NFS) операционной системы OpenBSD, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность.
Описание уязвимости: Уязвимость реализации клиента и сервера сетевой файловой системы (NFS) операционной системы OpenBSD связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на конфиденциальность, целостность и доступность
Уязвимое ПО: Операционная система OpenBSD Project OpenBSD до 7.4 включительно | Операционная система OpenBSD Project OpenBSD до 7.5 включительно |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 15.11.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Критический уровень опасности (базовая оценка CVSS 4.0 составляет 9,2)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
— ограничение возможности использования неинициализированных переменных при обработке ошибок сервера NFS;
— использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимой операционной системе;
— ограничение доступа к уязвимой операционной системе из внешних сетей (Интернет);
— использование систем обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости;
— использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://ftp.openbsd.org/pub/OpenBSD/patches/7.4/common/021_nfs.patch.sig
https://ftp.openbsd.org/pub/OpenBSD/patches/7.5/common/008_nfs.patch.sig.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-10934.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://ftp.openbsd.org/pub/OpenBSD/patches/7.4/common/021_nfs.patch.sig
https://ftp.openbsd.org/pub/OpenBSD/patches/7.5/common/008_nfs.patch.sig



