Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03203: Уязвимость реализации протокола OpenLDAP, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости	Уязвимость реализации протокола OpenLDAP связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации с помощью специально созданного запроса
Вендор	Red Hat Inc., Novell Inc., Сообщество свободного программного обеспечения, OpenLDAP, АО "НППКТ", ООО «Юбитех»
Наименование ПО	Red Hat Enterprise Linux, Suse Linux Enterprise Server, Debian GNU/Linux, OpenLDAP, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), UBLinux (запись в едином реестре российских программ №6874)
Версия ПО	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 12 SP3 (Suse Linux Enterprise Server) 12 SP4 (Suse Linux Enterprise Server) 12 SP2-BCL (Suse Linux Enterprise Server) 12 SP3-LTSS (Suse Linux Enterprise Server) 12 SP3-BCL (Suse Linux Enterprise Server) 12 SP5 (Suse Linux Enterprise Server) 10 (Debian GNU/Linux) 12 SP3-ESPOS (Suse Linux Enterprise Server) 15-LTSS (Suse Linux Enterprise Server) 12 SP4-ESPOS (Suse Linux Enterprise Server) 12 SP4-LTSS (Suse Linux Enterprise Server) 15-ESPOS (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 11 (Debian GNU/Linux) 12 (Suse Linux Enterprise Server) 15 SP2 LTSS (Suse Linux Enterprise Server) 15 SP3 (Suse Linux Enterprise Server) 15 SP4 (Suse Linux Enterprise Server) от 2.0 до 2.5.12 (OpenLDAP) от 2.6.0 до 2.6.2 (OpenLDAP) до 2.5 (ОСОН ОСнова Оnyx) до 2204 (UBLinux)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 Novell Inc. Suse Linux Enterprise Server 12 SP3 Novell Inc. Suse Linux Enterprise Server 12 SP4 Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Novell Inc. Suse Linux Enterprise Server 12 SP5 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Novell Inc. Suse Linux Enterprise Server 15-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS Novell Inc. Suse Linux Enterprise Server 15-ESPOS Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Сообщество свободного программного обеспечения Debian GNU/Linux 11 Novell Inc. Suse Linux Enterprise Server 12 Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS Novell Inc. Suse Linux Enterprise Server 15 SP3 Novell Inc. Suse Linux Enterprise Server 15 SP4 АО "НППКТ" ОСОН ОСнова Оnyx до 2.5 (запись в едином реестре российских программ №5913) ООО «Юбитех» UBLinux до 2204 (запись в едином реестре российских программ №6874)
Тип ошибки	Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки	CWE-89
Класс уязвимости	Уязвимость кода
Дата выявления	23.03.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для OpenLDAP: Обновление программного обеспечения до актуальной версии Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2022/05/msg00032.html https://www.debian.org/security/2022/dsa-5140 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-29155 Для UBLinux: https://security.ublinux.ru/CVE-2022-29155 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-29155.html Для ОСОН Основа: Обновление программного обеспечения openldap до версии 2.4.47+dfsg-3+deb10u7
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2022-29155 https://bugs.openldap.org/show_bug.cgi?id=9815 https://lists.debian.org/debian-lts-announce/2022/05/msg00032.html https://www.debian.org/security/2022/dsa-5140 https://security.ublinux.ru/CVE-2022-29155 https://www.suse.com/security/cve/CVE-2022-29155.html https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-29155
Прочая информация	Данные уточняются

Последние изменения