Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03238: Уязвимость реализации функции vim_regsub_both() текстового редактора Vim, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Описание уязвимости	Уязвимость реализации функции vim_regsub_both() текстового редактора Vim связана с записью данных за границами буфера. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызвать отказ в обслуживании с помощью специально созданного файла
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Red Hat Inc., ООО «Ред Софт», ФССП России, АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, vim, OpenShift Container Platform, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 11 (Debian GNU/Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) 9 (Red Hat Enterprise Linux) до 8.2.4977 (vim) 4.11 (OpenShift Container Platform) 4.7 (Astra Linux Special Edition) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 Red Hat Inc. Red Hat Enterprise Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Запись за границами буфера
Идентификатор типа ошибки	CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	16.05.2022
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:P/A:C CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Vim: https://github.com/vim/vim/commit/e2bd8600b873d2cd1f9d667c28cba8b1dba18839 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для Debian: https://security-tracker.debian.org/tracker/CVE-2022-1785 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-1785 Для Astra Linux Special Edition 1.7 архитектуры x86-64: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD Для ОСОН ОСнова Оnyx: Обновление программного обеспечения vim до версии 2:9.0.0626-1 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/ https://goslinux.fssp.gov.ru/2726972/ https://security-tracker.debian.org/tracker/CVE-2022-1785 https://www.cybersecurity-help.cz/vdb/SB2022052017 https://nvd.nist.gov/vuln/detail/CVE-2022-1785 https://github.com/vim/vim/commit/e2bd8600b873d2cd1f9d667c28cba8b1dba18839 https://huntr.dev/bounties/8c969cba-eef2-4943-b44a-4e3089599109 https://access.redhat.com/security/cve/CVE-2022-1785 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-1785
Прочая информация	Данные уточняются

Последние изменения