BDU:2022-04200: Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack, связанная с неправильной проверкой ввода, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании» (DoS)

Описание уязвимости Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack связана с недостаточной проверкой введенных пользователем данных при анализе составных запросов POST. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «отказ в обслуживании» (DoS) с помощью специально созданного запроса POST
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт», ФССП России, Leah Neukirchen, АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, Red Hat Satellite, Red Hat Storage, OpenSUSE Leap, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Rack, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 6.0 (Red Hat Satellite)
  • 3 (Red Hat Storage)
  • 15.3 (OpenSUSE Leap)
  • 11.0 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • 15.4 (OpenSUSE Leap)
  • до 2.0.9.1 (Rack)
  • до 2.1.4.1 (Rack)
  • до 2.2.3.1 (Rack)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Недостаточная проверка вводимых данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 02.07.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Rack:
https://github.com/advisories/GHSA-hxqx-xwvh-44m2

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-30122

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-30122.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-30122

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения