Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-01443: Уязвимость реализации механизма аутентификации Cyrus SASL, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю выполнить произвольный SQL-запрос

Описание уязвимости	Уязвимость реализации механизма аутентификации Cyrus SASL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-запрос
Вендор	ООО «Ред Софт», ООО «РусБИТех-Астра», ФССП России, Project Cyrus, IBM Corp.
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, Cyrus SASL, IBM QRadar SIEM, IBM Robotic Process Automation for Cloud Pak
Версия ПО	7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) до 2.1.28 (Cyrus SASL) от 7.3 до 7.3.3 Fix Pack 12 (IBM QRadar SIEM) от 7.4 до 7.4.3 Fix Pack 6 (IBM QRadar SIEM) от 7.5 до 7.5.0 Update Pack 2 (IBM QRadar SIEM) до 21.0.2.3 (IBM Robotic Process Automation for Cloud Pak) 4.7 (Astra Linux Special Edition)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Программное средство защиты
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки	CWE-89
Класс уязвимости	Уязвимость кода
Дата выявления	02.03.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Cyrus: Обновление программного обеспечения до актуальной версии Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для программных продуктов IBM Corp.: https://www.ibm.com/support/pages/node/6614725 https://www.ibm.com/support/pages/node/6614449 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 Для Astra Linux Special Edition 4.7 (для архитектуры ARM): использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/ https://nvd.nist.gov/vuln/detail/CVE-2022-24407 https://www.openwall.com/lists/oss-security/2022/02/23/4 https://goslinux.fssp.gov.ru/2726972/ https://www.ibm.com/support/pages/node/6614725 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-24407
Прочая информация	Данные уточняются

Последние изменения