BDU:2022-03180: Уязвимость реализации конфигурации запроса информации о SSL-сертификате CURLOPT_CERTINFO утилиты командной строки cURL, позволяющая нарушителю вызывать отказ в обслуживании

Описание уязвимости Уязвимость реализации конфигурации запроса информации о SSL-сертификате CURLOPT_CERTINFO утилиты командной строки cURL связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызывать отказ в обслуживании
Вендор Red Hat Inc., ООО «Ред Софт», ООО «РусБИТех-Астра», ФССП России, АО «ИВК», Дэниел Стенберг, АО "НППКТ"
Наименование ПО Red Hat Software Collections, JBoss Core Services, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, Альт 8 СП, cURL, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • - (Red Hat Software Collections)
  • - (JBoss Core Services)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • ИК6 (ОС ТД АИС ФССП России)
  • - (Альт 8 СП)
  • от 7.34.0 до 7.83.1 (cURL)
  • 4.7 (Astra Linux Special Edition)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Прикладное ПО информационных систем, Операционная система
Операционные системы и аппаратные платформы
Тип ошибки Выполнение цикла с недоступным условием выхода (бесконечный цикл)
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 30.04.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2022-27781.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-27781

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Организационные меры:
Не рекомендуется использовать конфигурации запроса информации о SSL-сертификате CURLOPT_CERTINFO

Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.83.1-1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Исчерпание ресурсов
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения