BDU:2022-03235: Уязвимость реализации функции find_next_quote() текстового редактора Vim, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Описание уязвимости Уязвимость реализации функции find_next_quote() текстового редактора Vim связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или выполнить произвольный код с помощью специально созданного файла
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Red Hat Inc., Fedora Project, ООО «Ред Софт», ФССП России
Наименование ПО Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Virtualization, Red Hat Enterprise Linux, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, vim
Версия ПО
  • 9 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 4 (Red Hat Virtualization)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • 34 (Fedora)
  • 11 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • 9 (Red Hat Enterprise Linux)
  • до 8.2.4925 (vim)
  • 4.7 (Astra Linux Special Edition)
Тип ПО Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера, Чтение из памяти, следующей за границей окончания буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 08.05.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,6)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Vim:
https://github.com/vim/vim/commit/53a70289c2712808e6d4e88927e03cac01b470dd

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HIP7KG7TVS5YF3QREAY2GOGUT3YUBZAI/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-1629

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1629

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения