Múltiples vulnerabilidades en NonStop OSS Network Utilities de HPE
- Para la vulnerabilidad CVE-2023-38546: T1204L01^AAE, T1204L01^AAF y T1204L01^AAH.
- Para la vulnerabilidad CVE-2023-38545: T1204L01-T1204L01^AAB, T1204L01^AAD-T1204L01^AAF y T1204L01^AAH.
HPE ha publicado dos vulnerabilidades de severidad crítica y baja. Estas vulnerabilidades podrían provocar de forma remota la omisión de restricciones de seguridad, vulnerabilidades indirectas y desbordamiento de búfer.
HPE ha lanzado actualizaciones de la versión de lanzamiento (RVU) que contienen los SPR afectados:
L17.08 - L19.08L20.05 – 21.06L21.11.00 - L21.11.02L22.09.00 L22.09.01L23.08
Las vulnerabilidades detectadas vienen derivadas del proyecto de 'curl'. Este fallo crítico hace que 'curl' desborde un búfer basado en montón en el protocolo de enlace del proxy SOCKS5. Debido a este error, la variable local podría obtener el valor incorrecto durante un protocolo de enlace SOCKS5 lento y copiar el nombre del host demasiado largo al búfer de destino, en lugar de copiar solo la dirección resuelta. Se ha asignado el identificador CVE-2023-38545 para esta vulnerabilidad.
Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2023-38546.
