BDU:2022-03040: Уязвимость утилиты командной строки cURL, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость утилиты командной строки cURL связана с утечкой данных аутентификации или заголовков файла cookie во время перенаправления HTTP на тот же хост, но с другим номером порта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, ошибочно отправить тот же набор заголовков на хосты, которые идентичны первому, но используют другой номер порта или схему URL
Вендор Red Hat Inc., Fedora Project, ООО «Ред Софт», ООО «РусБИТех-Астра», АО «ИВК», Дэниел Стенберг, АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Red Hat Software Collections, JBoss Core Services, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), Альт 8 СП, cURL, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 8 (Red Hat Enterprise Linux)
  • - (Red Hat Software Collections)
  • - (JBoss Core Services)
  • 34 (Fedora)
  • 35 (Fedora)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • - (Альт 8 СП)
  • 36 (Fedora)
  • от 4.9 до 7.83.0 (cURL)
  • 4.7 (Astra Linux Special Edition)
  • до 2.5 (ОСОН ОСнова Оnyx)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Раскрытие информации, Недостаточная защита регистрационных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 21.04.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2022-27776.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-27776

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142
https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574
https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.83.1-1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения mediawiki до версии 1:1.35.7-1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения