Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-05328: Уязвимость двунаправленного алгоритма в реализации стандарта Unicode, связанная с ошибками при генерации кода, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость двунаправленного алгоритма в реализации стандарта Unicode связана с ошибками при генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	ООО «Ред Софт», Fedora Project, Unicode Consortium, The Rust Foundation
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), Fedora, Unicode, Rust
Версия ПО	7.2 Муром (РЕД ОС) 34 (Fedora) 35 (Fedora) до 14.0.0 (Unicode) до 1.56.1 (Rust)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) Fedora Project Fedora 34 Fedora Project Fedora 35
Тип ошибки	Недостаточная проверка вводимых данных, Неверное управление генерацией кода (Внедрение кода)
Идентификатор типа ошибки	CWE-20 CWE-94
Класс уязвимости	Уязвимость кода
Дата выявления	01.11.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Unicode: http://www.unicode.org/versions/Unicode14.0.0/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LQNTFF24ROHLVPLUOEISBN3F7QM27L4U/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QUPA37D57VPTDLSXOOGF4UXUEADOC4PQ/ Для Rust: https://github.com/nickboucher/trojan-source Для РедОС: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://www.unicode.org/versions/Unicode14.0.0/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LQNTFF24ROHLVPLUOEISBN3F7QM27L4U/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QUPA37D57VPTDLSXOOGF4UXUEADOC4PQ/ https://github.com/nickboucher/trojan-source https://trojansource.codes https://access.redhat.com/security/vulnerabilities/RHSB-2021-007 http://www.openwall.com/lists/oss-security/2021/11/02/10 http://www.openwall.com/lists/oss-security/2021/11/01/6 http://www.openwall.com/lists/oss-security/2021/11/01/5 http://www.openwall.com/lists/oss-security/2021/11/01/4 http://www.openwall.com/lists/oss-security/2021/11/01/1 https://nvd.nist.gov/vuln/detail/CVE-2021-42574 http://repo.red-soft.ru/redos/7.2c/x86_64/updates/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-42574
Прочая информация	Уязвимость известна также под наименованием Trojan Source

Последние изменения