Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05922: Уязвимость компонента findfile.c текстового редактора Vim, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость компонента findfile.c текстового редактора Vim связана с некоректной обработкой CTRL-W f при отсутствии имени файла. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, АО "НППКТ", АО «Концерн ВНИИНС»
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), vim, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 10 (Debian GNU/Linux) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 11 (Debian GNU/Linux) 1.7 (Astra Linux Special Edition) до 8.2.3611 (vim) 4.7 (Astra Linux Special Edition) до 2.6 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Переполнение буфера в куче
Идентификатор типа ошибки	CWE-122
Класс уязвимости	Уязвимость кода
Дата выявления	13.11.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Для Vim: использование рекомендаций производителя: https://github.com/vim/vim/commit/615ddd5342b50a6878a907062aa471740bd9a847 Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-3973 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD Для ОСОН ОСнова Оnyx: Обновление программного обеспечения vim до версии 2:9.0.0626-1 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 Для ОС ОН «Стрелец»: Обновление программного обеспечения vim до версии 2:8.0.0197-4+deb9u7
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/vim/vim/commit/615ddd5342b50a6878a907062aa471740bd9a847 https://huntr.dev/bounties/ce6e8609-77c6-4e17-b9fc-a2e5abed052e https://nvd.nist.gov/vuln/detail/CVE-2021-3973 https://security-tracker.debian.org/tracker/CVE-2021-3973 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-3973
Прочая информация	Данные уточняются

Последние изменения