BDU:2024-02979
Novell Inc., ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», ООО «НЦПР», Сообщество свободно Red Hat Enterprise Linux, АЛЬТ СП 10, Astra Linux Special Edition, SUSE Linux Enterprise Server for
2024-02-07
Уязвимость функции uv_getaddrinfo() (src/unix/getaddrinfo.c, src/win/getaddrinfo.c) библиотеки с асинхронным вводом-выводом libuv связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для libuv: обновление библиотеки до версии 1.48.0 и выше
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2024-24806
Для Ubuntu: https://ubuntu.com/security/CVE-2024-24806 https://ubuntu.com/security/notices/USN-6666-1
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-24806
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2024-24806.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux: обновить пакет libuv1 до 1.24.1-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 1.6 «Смоленск»:: обновить пакет libuv1 до 1.24.1-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет libuv1 до 1.24.1-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2605
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:4756?lang=ru