Vulnérabilité dans Red Hat
Date de publication :
Le logiciel libre Rsyslog est utilisé dans la gestion et la centralisation de journaux d’évènements. Il permet notamment de surveiller l’activité de la couche réseau.
CVE-2022-24903[Score CVSS v3.1: 8.1]
Les modules TCP de réception du logiciel Rsyslog sont vulnérables à un débordement de mémoire tampon. Un attaquant peut, grâce à l’envoi d’un code spécialement forgé, exécuter du code arbitraire, provoquer un déni de service et porter atteinte à la confidentialité et à l’intégrité des données.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
Criticité
- Score CVSS v3.1: 8.1
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
La vulnérabilité exploitée est du type
Détails sur l’exploitation
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Élevée.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits suivants sont affectés par cette vulnérabilité :
- Prise en charge du cycle de vie étendu de Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 8
- Services de mise à jour de Red Hat Enterprise Linux 8.1 pour les solutions SAP
- Prise en charge étendue des mises à jour de Red Hat Enterprise Linux 8.2
- Prise en charge étendue des mises à jour de Red Hat Enterprise Linux 8.4
- Red Hat Enterprise Linux 9
- Virtualisation Red Hat 4
Solutions ou recommandations
- Mettre à jour l’ensemble des produits affectés par cette vulnérabilité, sauf Virtualisation Red Hat 4,avec le correctif BZ - 2081353. Des informations complémentaires sont disponibles ici.
- Le produit Virtualisation Red Hat 4 ne dispose à ce jour d’aucun correctif disponible.