Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03040: Уязвимость утилиты командной строки cURL, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость утилиты командной строки cURL связана с утечкой данных аутентификации или заголовков файла cookie во время перенаправления HTTP на тот же хост, но с другим номером порта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, ошибочно отправить тот же набор заголовков на хосты, которые идентичны первому, но используют другой номер порта или схему URL
Вендор	Red Hat Inc., Fedora Project, ООО «Ред Софт», ООО «РусБИТех-Астра», АО «ИВК», Дэниел Стенберг, АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Red Hat Software Collections, JBoss Core Services, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), Альт 8 СП, cURL, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	8 (Red Hat Enterprise Linux) - (Red Hat Software Collections) - (JBoss Core Services) 34 (Fedora) 35 (Fedora) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) - (Альт 8 СП) 36 (Fedora) от 4.9 до 7.83.0 (cURL) 4.7 (Astra Linux Special Edition) до 2.5 (ОСОН ОСнова Оnyx) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 8 Fedora Project Fedora 34 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) АО «ИВК» Альт 8 СП - Fedora Project Fedora 36 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Раскрытие информации, Недостаточная защита регистрационных данных
Идентификатор типа ошибки	CWE-200 CWE-522
Класс уязвимости	Уязвимость архитектуры
Дата выявления	21.04.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для cURL: https://curl.se/docs/CVE-2022-27776.html Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-27776 Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142 https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574 https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083 Для Альт 8 СП: https://altsp.su/obnovleniya-bezopasnosti/ Для ОСОН Основа: Обновление программного обеспечения curl до версии 7.83.1-1 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения mediawiki до версии 1:1.35.7-1 Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2022-27776 https://redos.red-soft.ru/support/secure/ https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142 https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574 https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083 https://bugzilla.redhat.com/show_bug.cgi?id=2079174 https://curl.se/docs/CVE-2022-27776.html https://bugzilla.redhat.com/show_bug.cgi?id=2078408 https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-27776
Прочая информация	Данные уточняются

Последние изменения