BDU:2023-06579
АО "НППКТ", ООО «Юбитех», ООО «Ред Софт», Red Hat Inc., АО «ИВК», Сообщество свободного программного Red Hat Enterprise Linux, UBLinux, Альт 8 СП, Astra Linux Special Edition, Debian GNU/Linux, ОСОН ОС
2023-10-11
Уязвимость функции curl_easy_duphandle библиотеки libcurl связана с внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать или перезаписать файлы cookie
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для libcurl: hhtps://github.com/curl/curl/commit/61275672b46d9abb32857404 https://curl.se/docs/CVE-2023-38546.html
Для UBLinux: https://security.ublinux.ru/CVE-2023-38546
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-38546
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-38546
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения curl до версии 7.88.1-10+deb12u4osnova1
Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64: обновить пакет curl до 7.64.0-4+deb10u5+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет curl до 7.68.0-1ubuntu2.22+astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2748