Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03184: Уязвимость утилиты командной строки cURL, связанная с ошибками кодирования URL-адресов, позволяющая нарушителю перенаправить пользователя на другой URL-адрес

Основная информация
Подробнее

Описание уязвимости

Уязвимость утилиты командной строки cURL связана с заменой параметра «%» на «/» при кодировании URL-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправить пользователя на другой URL-адрес

Вендор

Novell Inc., ООО «Ред Софт», ФССП России, АО «ИВК», Fedora Project, Дэниел Стенберг, АО "НППКТ"

Наименование ПО

openSUSE Tumbleweed, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Альт 8 СП, Fedora, cURL, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

- (openSUSE Tumbleweed)
7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
36 (Fedora)
от 7.80.0 до 7.83.1 (cURL)
до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36

Тип ошибки

Недостаточная проверка вводимых данных, Неправильная обработка данных с кодированием URL (Hex шифрование)

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

28.04.2022

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2022-27780.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Novell Inc.:
https://www.suse.com/de-de/security/cve/CVE-2022-27780.html

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-d15a736748

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.83.1-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование ресурсами
Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://redos.red-soft.ru/support/secure/
https://curl.se/docs/CVE-2022-27780.html
https://access.redhat.com/security/cve/cve-2022-27780
https://www.cybersecurity-help.cz/vdb/SB2022051112
https://www.suse.com/de-de/security/cve/CVE-2022-27780.html
https://bodhi.fedoraproject.org/updates/FEDORA-2022-d15a736748
https://goslinux.fssp.gov.ru/2726972/
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-27780

Прочая информация

Данные уточняются

Последние изменения