Уязвимости в Redis, Ghostscript, Asterisk и Parse Server

Несколько недавно выявленных опасных уязвимостей:

• CVE-2022-24834 — уязвимость в СУБД Redis, позволяющая вызвать переполнение буфера в библиотеках cjson и cmsgpack при выполнении специально оформленного сценария на языке Lua. Потенциально уязвимость может привести к удалённому выполнению кода на сервере. Проблема проявляется начиная с Redis 2.6 и устранена в выпусках 7.0.12, 6.2.13 и 6.0.20. В качестве обходного пути защиты можно через ACL запретить пользователям Redis выполнять команды EVAL и EVALSHA.
• CVE-2023-36824 уязвимость в СУБД Redis, приводящая к переполнению буфера при обработке имён ключей, переданных через команду COMMAND GETKEYS или COMMAND GETKEYSANDFLAGS, а так же списков ключей в правилах ACL. Потенциально уязвимость может привести к удалённому выполнению кода на сервере. Проблема проявляется только в ветке 7.0.x и устранена в выпуске 7.0.12.
• CVE-2022-23537 — уязвимость в коммуникационной платформе Asterisk, приводящая к переполнению буфера при разборе сервером специально оформленных сообщений STUN, в которых указан неизвестный атрибут. Проблема проявляется при использовании в Asterisk протоколов ICE или WebRTC. Уязвимость устранена в выпусках 16.30.1, 18.18.1, 19.8.1 и 20.3.1.
• CVE-2023-36664 — уязвимость в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF, позволяющая выполнить произвольный код при открытии специально оформленных документов в формате PostScript. Проблема вызвана некорректной обработкой имён файлов, начинающихся с символа «|» или префикса %pipe%. Уязвимость устранена в выпуске Ghostscript 10.01.2.

  Во многих окружениях Ghostscript вызывается в процессе создания миниатюр на рабочем столе или при фоновой индексации данных, поэтому для атаки иногда достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus. Атаку на серверные системы можно организовать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, вызывающие Ghostscript при передаче JPEG или PNG-файлов, в которых вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).

• CVE-2023-36475 — уязвимость в Parse Server, бэкенде к Node.js, работающем с web-фреймворком Express, позволяющая удалённо выполнить свой код на сервере. Уязвимость позволяет применить метод засорения прототипа объектов JavaScript («prototype pollution») для выполнения своего кода через BSON-парсер MongoDB. Уязвимости присвоен уровень опасности 9.8 из 10. Проблема устранена в обновлениях parse-server 5.5.2 и 6.2.1.

Источник: opennet.ru