Организация OISF (Open Information Security Foundation) опубликовала корректирующие выпуски системы обнаружения и предотвращения сетевых вторжений Suricata 7.0.3 и 6.0.16, в которых устранены пять уязвимостей, трём из которых (CVE-2024-23839, CVE-2024-23836, CVE-2024-23837) присвоен критический уровень опасности. Описание уязвимостей пока не раскрывается, тем не менее критический уровень обычно присваивается при возможности удалённого выполнения кода атакующего. Всем пользователям Suricata рекомендуется срочно обновить свои системы.
В списке изменений Suricata уязвимости явно не выделены, но в одном из исправлений отмечается обращение к памяти после её освобождения при обработке некорректных HTTP-заголовков. Одна из критических уязвимостей (CVE-2024-23837) присутствует в библиотеке разбора HTTP-трафика LibHTP.
Source: opennet.ru