Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-02113: Уязвимость библиотеки gzip, связанная с ошибками при обработке имен файлов, позволяющая нарушителю записать произвольные файлы в систему

Описание уязвимости	Уязвимость библиотеки gzip связана с ошибками при обработке имен файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в систему с помощью утилит командной строки zgrep и xzgrep
Вендор	Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Red Hat Virtualization, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, gzip, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7 (Red Hat Enterprise Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 9.0 (Debian GNU/Linux) 4 (Red Hat Virtualization) 8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) 11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) до 1.12 (gzip) 4.7 (Astra Linux Special Edition) до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	07.04.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - ограничение доступа недоверенных пользователей к терминалу Linux; - использование замкнутой программной среды; - использование средств антивирусной защиты. Источник информации: https://lists.gnu.org/r/bug-gzip/2022-04/msg00011.html Использование рекомендаций производителей: Для gzip: https://git.savannah.gnu.org/cgit/gzip.git/commit/?id=9d3248751178939713a39115cf68ec8a11506cc9 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-1271 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-1271 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 Для ОСОН Основа: Обновление программного обеспечения xz-utils до версии 5.2.5-2.1 Для ОСОН Основа: Обновление программного обеспечения gzip до версии 1.9-3+deb10u1 Для Astra Linux Special Edition 4.7 (для архитектуры ARM): использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://lists.gnu.org/r/bug-gzip/2022-04/msg00011.html https://access.redhat.com/security/cve/cve-2022-1271 https://security-tracker.debian.org/tracker/CVE-2022-1271 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1271 https://www.openwall.com/lists/oss-security/2022/04/07/8 https://git.tukaani.org/?p=xz.git;a=commit;h=69d1b3fc29677af8ade8dc15dba83f0589cb63d6 https://security-tracker.debian.org/tracker/CVE-2022-1271 https://access.redhat.com/security/cve/cve-2022-1271 https://www.mail-archive.com/search?l=debian-security-tracker-commits%40alioth-lists.debian.net&q=date:20220407&o=newest&f=1 https://redos.red-soft.ru/support/secure/ https://goslinux.fssp.gov.ru/2726972/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-1271
Прочая информация	Данные уточняются

Последние изменения