Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-06010: Уязвимость утилиты cURL, связанная с повторным освобождением памяти, позволяющая нарушителю выполнить отказ в обслуживании

Описание уязвимости	Уязвимость утилиты cURL, связана с граничной ошибкой при отправке данных на сервер MQTT. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать ошибку двойного освобождения и выполнить атаку отказа в обслуживании (DoS).
Вендор	Сообщество свободного программного обеспечения, ООО «Ред Софт», ООО «Открытая мобильная платформа»
Наименование ПО	Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), libcurl, ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО	9 (Debian GNU/Linux) 10 (Debian GNU/Linux) 7.2 Муром (РЕД ОС) 11 (Debian GNU/Linux) от 7.20.0 до 7.78.0 (libcurl) до 4.0.2.249 включительно (ОС Аврора)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно Aquarius CMP NS220 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно Byterg MVK-2020 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно F+ Life Tab Plus (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно Mashtab TrustPhone T1 (запись в едином реестре российских программ №1543)
Тип ошибки	Повторное освобождение
Идентификатор типа ошибки	CWE-415
Класс уязвимости	Уязвимость кода
Дата выявления	15.09.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для cURL: Обновление программного обеспечения до актуальной версии Для РедОС: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22945 Для ОС Аврора: https://cve.omp.ru/bb23402
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/updatesec/ https://www.cybersecurity-help.cz/vdb/SB2021091514 https://www.securitylab.ru/vulnerability/524485.php https://security-tracker.debian.org/tracker/CVE-2021-22945 https://cve.omp.ru/bb23402
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-22945
Прочая информация	Данные уточняются

Последние изменения