Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-02375: Уязвимость текстового редактора vim, вызванная переполнением буфера, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость текстового редактора vim вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Fedora Project, ООО «Ред Софт», АО «ИВК»
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, vim
Версия ПО	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 10 (Debian GNU/Linux) 34 (Fedora) 11 (Debian GNU/Linux) 35 (Fedora) 7.3 (РЕД ОС) - (Альт 8 СП) до 8.2.4440 (vim) 4.7 (Astra Linux Special Edition)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 10 Fedora Project Fedora 34 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) АО «ИВК» Альт 8 СП - ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Выход операции за границы буфера в памяти
Идентификатор типа ошибки	CWE-119
Класс уязвимости	Уязвимость кода
Дата выявления	23.02.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для vim: https://huntr.dev/bounties/f3f3d992-7bd6-4ee5-a502-ae0e5f8016ea https://github.com/vim/vim/commit/6456fae9ba8e72c74b2c0c499eaf09974604ff30 Для Fedora: https://lists.fedoraproject.org/archives/search?mlist=package-announce%40lists.fedoraproject.org&q=CVE-2022-0729 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-0729 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Альт 8 СП: https://altsp.su/obnovleniya-bezopasnosti/ Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://huntr.dev/bounties/f3f3d992-7bd6-4ee5-a502-ae0e5f8016ea https://github.com/vim/vim/commit/6456fae9ba8e72c74b2c0c499eaf09974604ff30 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HBUYQBZ6GWAWJRWP7AODJ4KHW5BCKDVP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZLEHVP4LNAGER4ZDGUDS5V5YVQD6INF/ https://lists.debian.org/debian-lts-announce/2022/03/msg00018.html http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://altsp.su/obnovleniya-bezopasnosti/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-0729
Прочая информация	Данные уточняются

Последние изменения