БДУ - Уязвимости

BDU:2022-01633: Уязвимость модуля sunrpc системной библиотеки glibc, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость модуля sunrpc системной библиотеки glibc связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью отправки специально сформированных данных приложению
Вендор	Canonical Ltd., Red Hat Inc., ООО «Ред Софт», ООО «РусБИТех-Астра», ФССП России, The GNU Project, ООО «Открытая мобильная платформа», IBM Corp., АО "НППКТ"
Наименование ПО	Ubuntu, Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, glibc, ОС Аврора (запись в едином реестре российских программ №1543), IBM Cloud Pak System, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	18.04 LTS (Ubuntu) 8 (Red Hat Enterprise Linux) 20.04 LTS (Ubuntu) 21.10 (Ubuntu) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) от 2.0 до 2.34.9000 (glibc) до 4.0.2 (ОС Аврора) до 2.3.3.5 (IBM Cloud Pak System) 4.7 (Astra Linux Special Edition) до 2.5.1 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 18.04 LTS Red Hat Inc. Red Hat Enterprise Linux 8 Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 21.10 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 Aquarius CMP NS220 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 Byterg MVK-2020 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 F+ Life Tab Plus (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 INOI R7 (запись в едином реестре российских программ №1543) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Выход операции за границы буфера в памяти
Идентификатор типа ошибки	CWE-119
Класс уязвимости	Уязвимость кода
Дата выявления	14.03.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомнедаций: Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для glibc: Обновление программного средства до актуальной версии Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-23219 Для программных продуктов IBM Corp.: https://www.ibm.com/support/pages/node/6612587 Для Ubuntu: https://ubuntu.com/security/notices/USN-5310-1 https://ubuntu.com/security/notices/USN-5310-2 Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb10321 Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb11322 Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb12323 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 Для ОСОН Основа: Обновление программного обеспечения glibc до версии 2.28-10+deb10u1osnova0
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://access.redhat.com/security/cve/cve-2022-23219 https://cve.omprussia.ru/bb10321 https://cve.omprussia.ru/bb11322 https://cve.omprussia.ru/bb12323 https://redos.red-soft.ru/support/secure/ https://sourceware.org/bugzilla/show_bug.cgi?id=22542 https://ubuntu.com/security/notices/USN-5310-1 https://ubuntu.com/security/notices/USN-5310-2 https://goslinux.fssp.gov.ru/2726972/ https://www.ibm.com/support/pages/node/6612587 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-23219
Прочая информация	Данные уточняются

Последние изменения

08.12.2023 Уязвимость веб-интерфейса системы управления базами данных H2, позволяющая нарушителю повысить свои привилегии
08.12.2023 Уязвимость платформы анализа данных Hazelcast, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнять произвольные действия
08.12.2023 Уязвимость модуля mod_webdav.so микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AX92U, позволяющая нарушителю получить доступ к защищаемой информации
08.12.2023 Уязвимость функции wanStat_detail микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023 Уязвимость функции Traffic Analyzer - Statistic микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023 Уязвимость функции переименования файлов операционной системы ASUSTOR Data Master (ADM), позволяющая нарушителю перемещать произвольные файлы
08.12.2023 Уязвимость интерфейса VAPIX API (irissetup.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023 Уязвимость интерфейса VAPIX API (dynamicoverlay.cgi) операционной системы AXIS OS, позволяющая нарушителю вызвать отказ в обслуживании
08.12.2023 Уязвимость интерфейса VAPIX API (overlay_del.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023 Уязвимость файла «search.cgi» программного средства для проверки номерных знаков License Plate Verifier, позволяющая нарушителю выполнять произвольные SQL-запросы

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»