Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-04273: Уязвимость базы данных учетных записей passdb почтового сервера Dovecot. позволяющая нарушителю повысить свои привилегии

Описание уязвимости	Уязвимость базы данных учетных записей passdb почтового сервера Dovecot связана с ошибками в конфигурации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Вендор	ООО «Ред Софт», ООО «РусБИТех-Астра», ФССП России, АО «ИВК», Timo Sirainen, АО "НППКТ"
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, Альт 8 СП, Dovecot, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) - (Альт 8 СП) до 2.2 включительно (Dovecot) 4.7 (Astra Linux Special Edition) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 АО «ИВК» Альт 8 СП - ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Неправильный контроль доступа
Идентификатор типа ошибки	CWE-284
Класс уязвимости	Уязвимость кода
Дата выявления	06.07.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:C/A:N CVSS 3.0: AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Devocot: Обновление программного обеспечения до актуальной версии Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН ОСнова Оnyx: Обновление программного обеспечения dovecot до версии 1:2.3.19.1+dfsg1-2osnova0 Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/dovecot/core/commit/7bad6a24160e34bce8f10e73dbbf9e5fbbcd1904 https://github.com/dovecot/core/commit/a1022072e2ce36f853873d910287f466165b184b https://www.openwall.com/lists/oss-security/2022/07/06/9 https://github.com/dovecot/core/compare/7bad6a24%5E..a1022072.patch http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://goslinux.fssp.gov.ru/2726972/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 https://altsp.su/obnovleniya-bezopasnosti/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-30550
Прочая информация	Данные уточняются

Последние изменения