BDU:2023-02154
АО "НППКТ", ООО «Открытая мобильная платформа», ООО «Ред Софт», Red Hat Inc., АО «ИВК», Project Harb cURL, Fedora, harbor, JBoss Core Services, Альт 8 СП, ОСОН ОСнова Оnyx, ОС Аврора, РЕД ОС
2022-12-21
Уязвимость механизма HSTS (HTTP Strict Transport Security) утилиты командной строки cURL связана с проблемой при обработке нескольких запросов, приводящих к игнорированию поддержки HSTS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить функциональность HSTS при последовательном запросе нескольких URL-адресов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для cURL: https://curl.se/docs/CVE-2023-23914.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-23914
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения curl до версии 7.88.1-10+deb12u1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Аврора: https://cve.omp.ru/bb23402
Компенсирующие меры для Harbor : - отключение/удаление неиспользуемых учетных записей пользователей; - минимизация пользовательских привилегий; - использование антивирусных средств защиты; - контроль действий пользователей.