Vulnérabilité dans Red Hat
Date de publication :
Le logiciel libre Rsyslog est utilisé dans la gestion et la centralisation de journaux d’évènements. Il permet notamment de surveiller l’activité de la couche réseau.
CVE-2022-24903[Score CVSS v3.1: 8.1]
Les modules TCP de réception du logiciel Rsyslog sont vulnérables à un débordement de mémoire tampon. Un attaquant peut, grâce à l’envoi d’un code spécialement forgé, exécuter du code arbitraire, provoquer un déni de service et porter atteinte à la confidentialité et à l’intégrité des données.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Déni de service
Atteinte à la confidentialité des données
Atteinte à l’intégrité des données
Criticité
Score CVSS v3.1: 8.1
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Non
La vulnérabilité exploitée est du type
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Élevée.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits suivants sont affectés par cette vulnérabilité :
Prise en charge du cycle de vie étendu de Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 8
Services de mise à jour de Red Hat Enterprise Linux 8.1 pour les solutions SAP
Prise en charge étendue des mises à jour de Red Hat Enterprise Linux 8.2
Prise en charge étendue des mises à jour de Red Hat Enterprise Linux 8.4
Red Hat Enterprise Linux 9
Virtualisation Red Hat 4
Solutions ou recommandations
- Mettre à jour l’ensemble des produits affectés par cette vulnérabilité, sauf Virtualisation Red Hat 4,avec le correctif BZ - 2081353. Des informations complémentaires sont disponibles ici.
- Le produit Virtualisation Red Hat 4 ne dispose à ce jour d’aucun correctif disponible.