Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03038: Уязвимость реализации функции сопоставления конфигурации утилиты командной строки cURL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость реализации функции сопоставления конфигурации утилиты командной строки cURL связана с недостаточной защитой служебных данных при работе с протоколом IPv6. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, привести к неправильному соединению, когда одна передача использует идентификатор зоны, а последующая передача использует другой (или не использует) идентификатор зоны
Вендор	Fedora Project, ООО «Ред Софт», АО «ИВК», Дэниел Стенберг, АО "НППКТ"
Наименование ПО	Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, cURL, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	34 (Fedora) 35 (Fedora) 7.3 (РЕД ОС) - (Альт 8 СП) 36 (Fedora) от 4.9 до 7.83.0 (cURL) до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Fedora Project Fedora 34 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) АО «ИВК» Альт 8 СП - Fedora Project Fedora 36
Тип ошибки	Раскрытие информации, Ошибки управления ресурсом
Идентификатор типа ошибки	CWE-200 CWE-399
Класс уязвимости	Уязвимость архитектуры
Дата выявления	21.04.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:S/C:P/I:N/A:N CVSS 3.0: AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 2,6)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для cURL: https://curl.se/docs/CVE-2022-27775.html Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142 https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574 https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083 Для Альт 8 СП: https://altsp.su/obnovleniya-bezopasnosti/ Для ОСОН Основа: Обновление программного обеспечения curl до версии 7.83.1-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/CVE-2022-27775 https://redos.red-soft.ru/support/secure/ https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142 https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574 https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083 https://curl.se/docs/CVE-2022-27775.html https://bugzilla.redhat.com/show_bug.cgi?id=2078388 https://bugzilla.redhat.com/show_bug.cgi?id=2079171 https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-27775
Прочая информация	Данные уточняются

Последние изменения