Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-04214: Уязвимость функции ins_bs() текстового редактора Vim, позволяющая нарушителю выполнить произвольный код в целевой системе

Описание уязвимости	Уязвимость функции ins_bs() (edit.c) текстового редактора Vim связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», ФССП России, АО "НППКТ"
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, vim, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 10.0 (Debian GNU/Linux) 11.0 (Debian GNU/Linux) 35 (Fedora) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) 36 (Fedora) до 8.2.5162 (vim) 4.7 (Astra Linux Special Edition) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 Fedora Project Fedora 36 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Переполнение буфера в куче
Идентификатор типа ошибки	CWE-122
Класс уязвимости	Уязвимость кода
Дата выявления	27.06.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Vim: https://github.com/vim/vim/commit/0971c7a4e537ea120a6bb2195960be8d0815e97b Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GFD2A4YLBR7OIRHTL7CK6YNMEIQ264CN/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U743FMJGFQ35GBPCQ6OWMVZEJPDFVEWM/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-2207 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для Astra Linux Special Edition 1.7 архитектуры x86-64: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD Для ОСОН ОСнова Оnyx: Обновление программного обеспечения vim до версии 2:9.0.0626-1 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GFD2A4YLBR7OIRHTL7CK6YNMEIQ264CN/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U743FMJGFQ35GBPCQ6OWMVZEJPDFVEWM/ https://redos.red-soft.ru/support/secure/ https://security-tracker.debian.org/tracker/CVE-2022-2207 https://goslinux.fssp.gov.ru/2726972/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-2207
Прочая информация	Данные уточняются

Последние изменения