BDU:2022-03203: Уязвимость реализации протокола OpenLDAP, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости Уязвимость реализации протокола OpenLDAP связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации с помощью специально созданного запроса
Вендор Red Hat Inc., Novell Inc., Сообщество свободного программного обеспечения, OpenLDAP, АО "НППКТ", ООО «Юбитех»
Наименование ПО Red Hat Enterprise Linux, Suse Linux Enterprise Server, Debian GNU/Linux, OpenLDAP, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), UBLinux (запись в едином реестре российских программ №6874)
Версия ПО
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 12 SP3 (Suse Linux Enterprise Server)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 12 SP3-LTSS (Suse Linux Enterprise Server)
  • 12 SP3-BCL (Suse Linux Enterprise Server)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 10 (Debian GNU/Linux)
  • 12 SP3-ESPOS (Suse Linux Enterprise Server)
  • 15-LTSS (Suse Linux Enterprise Server)
  • 12 SP4-ESPOS (Suse Linux Enterprise Server)
  • 12 SP4-LTSS (Suse Linux Enterprise Server)
  • 15-ESPOS (Suse Linux Enterprise Server)
  • 15 SP1-LTSS (Suse Linux Enterprise Server)
  • 11 (Debian GNU/Linux)
  • 12 (Suse Linux Enterprise Server)
  • 15 SP2 LTSS (Suse Linux Enterprise Server)
  • 15 SP3 (Suse Linux Enterprise Server)
  • 15 SP4 (Suse Linux Enterprise Server)
  • от 2.0 до 2.5.12 (OpenLDAP)
  • от 2.6.0 до 2.6.2 (OpenLDAP)
  • до 2.5 (ОСОН ОСнова Оnyx)
  • до 2204 (UBLinux)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 6
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Novell Inc. Suse Linux Enterprise Server 12 SP3
  • Novell Inc. Suse Linux Enterprise Server 12 SP4
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
  • Novell Inc. Suse Linux Enterprise Server 12 SP5
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
  • Novell Inc. Suse Linux Enterprise Server 15-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
  • Novell Inc. Suse Linux Enterprise Server 15-ESPOS
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11
  • Novell Inc. Suse Linux Enterprise Server 12
  • Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS
  • Novell Inc. Suse Linux Enterprise Server 15 SP3
  • Novell Inc. Suse Linux Enterprise Server 15 SP4
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.5 (запись в едином реестре российских программ №5913)
  • ООО «Юбитех» UBLinux до 2204 (запись в едином реестре российских программ №6874)
Тип ошибки Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 23.03.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для OpenLDAP:
Обновление программного обеспечения до актуальной версии

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2022/05/msg00032.html
https://www.debian.org/security/2022/dsa-5140

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-29155

Для UBLinux:
https://security.ublinux.ru/CVE-2022-29155

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-29155.html

Для ОСОН Основа:
Обновление программного обеспечения openldap до версии 2.4.47+dfsg-3+deb10u7
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения