Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05290: Уязвимость службы KDC kpasswd пакета программ сетевого взаимодействия Samba, позволяющая нарушителю повысить привилегии в системе

Описание уязвимости	Уязвимость службы KDC kpasswd пакета программ сетевого взаимодействия Samba связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить привилегии в системе
Вендор	Сообщество свободного программного обеспечения, Novell Inc., Canonical Ltd., ООО «Ред Софт», ООО «РусБИТех-Астра», Samba Team, АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Suse Linux Enterprise Server, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise High Availability, openSUSE Tumbleweed, Ubuntu, SUSE Linux Enterprise Module for Basesystem, OpenSUSE Leap, SUSE Linux Enterprise Module for Python2 packages, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Manager Proxy, SUSE Manager Server, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Micro, SUSE Manager Retail Branch Server, openSUSE Leap Micro, SUSE Enterprise Storage, Samba, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	10.0 (Debian GNU/Linux) 12 SP5 (Suse Linux Enterprise Server) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 12 SP5 (SUSE Linux Enterprise Software Development Kit) 12 SP5 (SUSE Linux Enterprise High Performance Computing) 12 SP5 (SUSE Linux Enterprise High Availability) - (openSUSE Tumbleweed) 20.04 LTS (Ubuntu) 15 SP3 (SUSE Linux Enterprise Module for Basesystem) 15.3 (OpenSUSE Leap) 11.0 (Debian GNU/Linux) 15 SP3 (SUSE Linux Enterprise Module for Python2 packages) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) 15.4 (OpenSUSE Leap) 15 SP3 (SUSE Linux Enterprise High Performance Computing) 15 SP3 (Suse Linux Enterprise Server) 15 SP3 (SUSE Linux Enterprise Server for SAP Applications) 4.2 (SUSE Manager Proxy) 4.2 (SUSE Manager Server) 15 SP3 (Suse Linux Enterprise Desktop) 5.1 (SUSE Linux Enterprise Micro) 15 SP4 (Suse Linux Enterprise Server) 15 SP4 (Suse Linux Enterprise Desktop) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 4.2 (SUSE Manager Retail Branch Server) 5.2 (SUSE Linux Enterprise Micro) 22.04 LTS (Ubuntu) 4.3 (SUSE Manager Retail Branch Server) 4.3 (SUSE Manager Proxy) 4.3 (SUSE Manager Server) 15 SP4 (SUSE Linux Enterprise High Performance Computing) 5.2 (openSUSE Leap Micro) 7.1 (SUSE Enterprise Storage) 15 SP4 (SUSE Linux Enterprise Module for Basesystem) до 4.16.4 (Samba) до 4.15.9 (Samba) до 4.14.14 (Samba) 4.7 (Astra Linux Special Edition) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Novell Inc. Suse Linux Enterprise Server 12 SP5 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Canonical Ltd. Ubuntu 20.04 LTS Novell Inc. OpenSUSE Leap 15.3 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) Novell Inc. OpenSUSE Leap 15.4 Novell Inc. Suse Linux Enterprise Server 15 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 Novell Inc. Suse Linux Enterprise Desktop 15 SP3 Novell Inc. Suse Linux Enterprise Server 15 SP4 Novell Inc. Suse Linux Enterprise Desktop 15 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 Canonical Ltd. Ubuntu 22.04 LTS Novell Inc. openSUSE Leap Micro 5.2 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Отсутствие критичного этапа аутентификации
Идентификатор типа ошибки	CWE-304
Класс уязвимости	Уязвимость архитектуры
Дата выявления	27.07.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости	Использование рекомендаций производителя: Для Samba: https://www.samba.org/samba/security/CVE-2022-2031.html Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-2031 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-2031.html Для Ubuntu: https://ubuntu.com/security/notices/USN-5542-1 Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-samba-cve-2022-32744-cve-2022-32746-cve-2022-2031-cve-2022-32745-cve-2022/ Для Astra Linux Special Edition 1.7 архитектуры x86-64: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD Для ОСОН ОСнова Оnyx: Обновление программного обеспечения samba до версии 2:4.15.9+repack-osnova0 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.samba.org/samba/security/CVE-2022-2031.html https://vuldb.com/ru/?id.205295 https://security-tracker.debian.org/tracker/CVE-2022-2031 https://www.suse.com/security/cve/CVE-2022-2031.html https://ubuntu.com/security/notices/USN-5542-1 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-samba-cve-2022-32744-cve-2022-32746-cve-2022-2031-cve-2022-32745-cve-2022/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-2031
Прочая информация	Данные уточняются

Последние изменения