«ФСТЭК России»

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
  1. Главная
  2. Список уязвимостей
  3. BDU:2022-03745

BDU:2022-03745: Уязвимость функции PAM auth системы управления конфигурациями и удалённого выполнения операций Salt, позволяющая нарушителю выполнять произвольные команды

Описание уязвимости

Уязвимость функции PAM auth системы управления конфигурациями и удалённого выполнения операций Salt связана с отсутствием действительной блокировки "заблокированных учетных записей". Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнять произвольные команды

Вендор

Сообщество свободного программного обеспечения, Novell Inc., SaltStack, Inc

Наименование ПО

Debian GNU/Linux, SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, SUSE Linux Enterprise High Performance Computing, SUSE Enterprise Storage, SUSE CaaS Platform, Salt, SUSE Manager Tools

Версия ПО

  • 9 (Debian GNU/Linux)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (Suse Linux Enterprise Server)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 12 (SUSE Linux Enterprise High Performance Computing)
  • 15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
  • 10 (Debian GNU/Linux)
  • 6 (SUSE Enterprise Storage)
  • 12 (SUSE Linux Enterprise Server for SAP Applications)
  • 4.0 (SUSE CaaS Platform)
  • 15 SP1-BCL (Suse Linux Enterprise Server)
  • 15 SP1-LTSS (Suse Linux Enterprise Server)
  • 15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)
  • 15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing)
  • 11 (Debian GNU/Linux)
  • 12 (Suse Linux Enterprise Server)
  • до 3002.9 (Salt)
  • до 3003.5 (Salt)
  • до 3004.2 (Salt)
  • 12 (SUSE Manager Tools)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

  • Сообщество свободного программного обеспечения Debian GNU/Linux 9
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
  • Novell Inc. Suse Linux Enterprise Server 12 SP3
  • Novell Inc. Suse Linux Enterprise Server 12 SP4
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
  • Novell Inc. Suse Linux Enterprise Server 12 SP5
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11
  • Novell Inc. Suse Linux Enterprise Server 12

Тип ошибки

Неправильная авторизация

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

23.06.2022

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Salt:
https://saltproject.io/security_announcements/salt-security-advisory-release-june-21st-2022/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-22967

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-22967.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Нарушение авторизации

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://vuldb.com/?id.202533
https://saltproject.io/security_announcements/salt-security-advisory-release-june-21st-2022/
https://repo.saltproject.io/
https://security-tracker.debian.org/tracker/CVE-2022-22967
https://www.suse.com/security/cve/CVE-2022-22967.html

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения

Угрозы: 222 Уязвимости: 50313 Последнее обновление: 25.09.2023

© ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Яндекс.Метрика