Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-01701: Уязвимость инструмента nbdcopy библиотеки libnbd, позволяющая нарушителю автоматически создавать поврежденные целевые образы

Основная информация
Подробнее

Описание уязвимости

Уязвимость инструмента nbdcopy библиотеки libnbd связана с недостатками обработки исключений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, автоматически создавать поврежденные целевые образы

Вендор

Red Hat Inc., Novell Inc., ООО «Ред Софт», Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux, openSUSE Tumbleweed, РЕД ОС (запись в едином реестре российских программ №3751), libnbd

Версия ПО

8 (Red Hat Enterprise Linux)
- (openSUSE Tumbleweed)
7.3 (РЕД ОС)
от 1.0.0 до 1.11.7 (libnbd)
8 Advanced Virtualization (Red Hat Enterprise Linux)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
Red Hat Inc. Red Hat Enterprise Linux 8 Advanced Virtualization

Тип ошибки

Обработка ошибок

Идентификатор типа ошибки

CWE-388

Класс уязвимости

Уязвимость кода

Дата выявления

21.03.2022

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:H/Au:N/C:N/I:P/A:N

CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для libnbd:
https://gitlab.com/nbdkit/libnbd/-/commit/8d444b41d09a700c7ee6f9182a649f3f2d325abb

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-0485

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-0485.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://redos.red-soft.ru/support/secure/
https://nvd.nist.gov/vuln/detail/CVE-2022-0485
https://gitlab.com/nbdkit/libnbd/-/commit/8d444b41d09a700c7ee6f9182a649f3f2d325abb
https://access.redhat.com/security/cve/CVE-2022-0485
https://www.suse.com/security/cve/CVE-2022-0485.html

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-0485

Прочая информация

Данные уточняются

Последние изменения