BDU:2022-00343: Уязвимость служебной программы командной строки cURL, связанная с использованием неинициализированного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным

Описание уязвимости

Уязвимость служебной программы командной строки cURL связана с использованием неинициализированного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Дэниел Стенберг

Наименование ПО

Версия ПО

  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 11.0 (Debian GNU/Linux)
  • 1.7 (Astra Linux Special Edition)
  • от 5.7.0 до 5.7.35 включительно (cURL)
  • от 7.7 до 7.78.0 (cURL)
  • от 8.0.0 до 8.0.26 включительно (cURL)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369)

Тип ошибки

Использование неинициализированного ресурса

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

05.08.2021

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Для Curl:
Использование рекомендаций производителя: https://hackerone.com/reports/1223882

Для Debian:
Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22925

Для Astra Linux:
Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

  • Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения