БДУ - Уязвимости

BDU:2022-03068: Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании с помощью специально созданных объектов класса Regexp
Вендор	Сообщество свободного программного обеспечения, Red Hat Inc., ООО «Ред Софт», АО «ИВК», Ruby Team
Наименование ПО	Debian GNU/Linux, Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, Ruby
Версия ПО	9 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 11 (Debian GNU/Linux) 7.3 (РЕД ОС) - (Альт 8 СП) 9 (Red Hat Enterprise Linux) от 3.0.0 до 3.0.4 (Ruby) от 3.1.0 до 3.1.2 (Ruby)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) АО «ИВК» Альт 8 СП - Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки	Выход операции за границы буфера в памяти, Повторное освобождение
Идентификатор типа ошибки	CWE-119 CWE-415
Класс уязвимости	Уязвимость кода
Дата выявления	12.04.2022
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:N/C:N/I:C/A:N CVSS 3.0: AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,2)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Ruby : https://www.ruby-lang.org/en/news/2022/04/12/double-free-in-regexp-compilation-cve-2022-28738/ https://github.com/ruby/ruby/commit/052ec6d2585c3ace95671013d336f5543624ef3d https://github.com/ruby/ruby/commit/73f45e5e96ccc13a131f7c0122cf8600ce5b930f Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-28738 Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian: https://security-tracker.debian.org/tracker/CVE-2022-28738 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/ https://hackerone.com/reports/1220911 https://security-tracker.debian.org/tracker/CVE-2022-28738 https://www.ruby-lang.org/en/news/2022/04/12/double-free-in-regexp-compilation-cve-2022-28738/ https://access.redhat.com/security/cve/cve-2022-28738 https://security-tracker.debian.org/tracker/CVE-2022-28738 https://github.com/ruby/ruby/commit/052ec6d2585c3ace95671013d336f5543624ef3d https://github.com/ruby/ruby/commit/73f45e5e96ccc13a131f7c0122cf8600ce5b930f https://nvd.nist.gov/vuln/detail/CVE-2022-28738 https://altsp.su/obnovleniya-bezopasnosti/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-28738
Прочая информация	Данные уточняются

Последние изменения

30.01.2023 Уязвимость SCADA-систем EcoStruxure Geo SCADA Expert 2020, EcoStruxure Geo SCADA Expert 2019, связанная с отсутствием защиты служебных данных, позволяющая нарушителю вызвать отказ в обслуживании
30.01.2023 Уязвимость реализации протокола Internet Key Exchange (IKE) операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
30.01.2023 Уязвимость библиотеки Microsoft DWM Core Library операционных систем Windows, позволяющая нарушителю повысить свои привилегии
30.01.2023 Уязвимость реализации протокола Point-to-Point Protocol (PPP) операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
30.01.2023 Уязвимость браузера Microsoft Edge, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии
30.01.2023 Уязвимость службы Cryptographic Services операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию
30.01.2023 Уязвимость компонента Win32k (Win32k.sys) операционной системы Windows, позволяющая нарушителю повысить свои привилегии
30.01.2023 Уязвимость компонента Overlay Filter операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
30.01.2023 Уязвимость файла fs/io_uring.c подсистемы io_uring ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
30.01.2023 Уязвимость функции read_bbreg_hdl() в модуле drivers/staging/rtl8712/rtl8712_cmd.c Wi-Fi драйвера rtl8712 ядра операционной системы Linux, позволяющая нарушителю вызвато отказ в обслуживании

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03068: Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании