Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00351: Уязвимость FTP-сервера vsftpd, связанная с отсутствием защиты передаваемых данных, позволяющая нарушителю выполнить атаку типа «человек посередине»

Описание уязвимости	Уязвимость FTP-сервера vsftpd связана с отсутствием защиты передаваемых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «человек посередине»
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», GNU General Public License, NGINX Inc., ФССП России, АО «ИВК», АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Red Hat Software Collections, РЕД ОС (запись в едином реестре российских программ №3751), vsftpd, Ansible Automation Platform, nginx, ОС ТД АИС ФССП России, Альт 8 СП, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 9.0 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) - (Red Hat Software Collections) 11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) от 0.0.1 до 3.0.4 (vsftpd) 1.2 (Ansible Automation Platform) до 1.21.0 (nginx) ИК6 (ОС ТД АИС ФССП России) - (Альт 8 СП) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 АО «ИВК» Альт 8 СП - АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки	CWE-295
Класс уязвимости	Уязвимость кода
Дата выявления	24.06.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:N CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-3618 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-3618 Для vsftpd: https://security.appspot.com/vsftpd/Changelog.txt Для nginx: http://hg.nginx.org/nginx/rev/ec1071830799 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для Альт 8 СП : https://altsp.su/obnovleniya-bezopasnosti/ Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nginx до версии 1.22.0-3
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://security-tracker.debian.org/tracker/CVE-2021-3618 https://access.redhat.com/security/cve/cve-2021-3618 https://security.appspot.com/vsftpd/Changelog.txt http://hg.nginx.org/nginx/rev/ec1071830799 https://bugzilla.redhat.com/show_bug.cgi?id=1975623 https://goslinux.fssp.gov.ru/2726972/ https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-3618
Прочая информация	Данные уточняются

Последние изменения