BDU:2022-04201: Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack, связанная с неправильной нейтрализацией специальных элементов используемых в команде ОС, позволяющая нарушителю выполнять произвольные команды оболочки в целевой системе

Описание уязвимости Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack связана с неправильной проверкой ввода при обработке данных, передаваемых через промежуточное ПО Rack Lint и промежуточное ПО CommonLogger. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передавать специально созданные данные приложению и выполнять произвольные команды ОС в целевой системе
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт», ФССП России, Leah Neukirchen, АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, Red Hat Storage, OpenSUSE Leap, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Red Hat Satellite, Rack, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 3 (Red Hat Storage)
  • 15.3 (OpenSUSE Leap)
  • 11.0 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • 15.4 (OpenSUSE Leap)
  • 6 (Red Hat Satellite)
  • до 2.0.9.1 (Rack)
  • до 2.1.4.1 (Rack)
  • до 2.2.3.1 (Rack)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы (Внедрение в команду операционной системы)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 02.07.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Rack:
https://github.com/advisories/GHSA-wq4h-7r42-5hrr

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-30123

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-30123.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-30123

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения