BDU:2022-03038: Уязвимость реализации функции сопоставления конфигурации утилиты командной строки cURL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость реализации функции сопоставления конфигурации утилиты командной строки cURL связана с недостаточной защитой служебных данных при работе с протоколом IPv6. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, привести к неправильному соединению, когда одна передача использует идентификатор зоны, а последующая передача использует другой (или не использует) идентификатор зоны
Вендор Fedora Project, ООО «Ред Софт», АО «ИВК», Дэниел Стенберг, АО "НППКТ"
Наименование ПО Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, cURL, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 34 (Fedora)
  • 35 (Fedora)
  • 7.3 (РЕД ОС)
  • - (Альт 8 СП)
  • 36 (Fedora)
  • от 4.9 до 7.83.0 (cURL)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Раскрытие информации, Ошибки управления ресурсом
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 21.04.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 2,6)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2022-27775.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142
https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574
https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.83.1-1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения