Уязвимость BDU:2024-03104

Идентификатор: BDU:2024-03104.

Наименование уязвимости: Уязвимость функции ProcXIPassiveGrabDevice() сервера X Window System Xorg-server, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции ProcXIPassiveGrabDevice() сервера X Window System Xorg-server связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 11 | Операционная система Debian GNU/Linux 12 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Сетевое средство, Сетевое программное средство XWayland до 23.2.5 | Сетевое средство X.Org Foundation Xorg-server до 1.20.8-24 | Операционная система АО “НППКТ” ОСОН ОСнова Оnyx до 2.10.1 |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 7 | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Debian GNU/Linux 11 | Debian GNU/Linux 12 | РЕД ОС 73 | Red Hat Enterprise Linux 9 | ОСОН ОСнова Оnyx до 2101 |
Дата выявления: 04.04.2024.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:P/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению:
Использование рекомендаций:
Для Xorg-server:
https://gitlab.freedesktop.org/xorg/xserver/-/commit/3e77295f888c67fc7645db5d0c00926a29ffecee
https://lists.x.org/archives/xorg-announce/2024-April/003497.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2024:1785

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-31081

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения xorg-server до версии 2:1.20.11-1+deb11u13.osnova1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-31081.

Тип ошибки CWE: CWE-126
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/errata/RHSA-2024:1785
https://security-tracker.debian.org/tracker/CVE-2024-31081
https://gitlab.freedesktop.org/xorg/xserver/-/commit/3e77295f888c67fc7645db5d0c00926a29ffecee
https://lists.x.org/archives/xorg-announce/2024-April/003497.html
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10.1/

Оригинал публикации на сайте CISOCLUB: "Уязвимость BDU:2024-03104".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.