BDU:2024-07439
ООО «Ред Софт», Red Hat Inc., Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», ООО Red Hat Enterprise Linux, libnbd, Astra Linux Special Edition, Debian GNU/Linux, ROSA Virtualization
2024-08-05
Уязвимость протокол NBD библиотеки libnbd связана с неправильной проверкой сертификата сервера NBD при использовании TLS для подключения к серверу NBD. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию и оказать воздействие на целостность системы
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для libnbd: https://gitlab.com/nbdkit/libnbd/-/commit/87ef41b69929d5d293390ec36b1c10aba2c9a57a https://gitlab.com/nbdkit/libnbd/-/commit/6ed47a27d14f6f11946bb096d94e5bf21d97083d https://gitlab.com/nbdkit/libnbd/-/commit/5ff09cdbbd19226dd2d5015d76134f88dee9321e https://gitlab.com/nbdkit/libnbd/-/commit/7a45b5db68c59cc620ba328f0ebec1e7058cd95a https://gitlab.com/nbdkit/libnbd/-/commit/e62185645c4d1a833d40aa79f3fee4ed477827c2
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-7383
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2024-7383
Для ОС Astra Linux: обновить пакет libnbd до 1.14.2-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2956
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2961