Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06193: Уязвимость утилиты командной строки cURL, связанная с недостаточной проверкой входных данных, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость утилиты командной строки cURL связана с недостаточной проверкой входных данных при обработке файлов cookie с контрольными кодами, значения байтов которых меньше 32. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании (ошибка 400 Bad Request) путем отправки cookie-файлов
Вендор	Red Hat Inc., Fedora Project, ООО «Ред Софт», ООО «РусБИТех-Астра», ФССП России, АО «ИВК», Дэниел Стенберг, АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, JBoss Core Services, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, Альт 8 СП (запись в едином реестре российских программ №4305), cURL, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	8 (Red Hat Enterprise Linux) - (JBoss Core Services) 35 (Fedora) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) - (Альт 8 СП) 36 (Fedora) 9 (Red Hat Enterprise Linux) 37 (Fedora) от 4.9 до 7.84.0 включительно (cURL) 4.7 (Astra Linux Special Edition) до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 8 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 АО «ИВК» Альт 8 СП - (запись в едином реестре российских программ №4305) Fedora Project Fedora 36 Red Hat Inc. Red Hat Enterprise Linux 9 Fedora Project Fedora 37 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)
Тип ошибки	Недостаточная проверка вводимых данных, Неправильная проверка синтаксической корректности ввода
Идентификатор типа ошибки	CWE-20 CWE-1286
Класс уязвимости	Уязвимость кода
Дата выявления	26.06.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для cURL: https://curl.se/docs/CVE-2022-35252.html https://github.com/curl/curl/commit/8dfc93e573ca740544a2d79ebb Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для продуктов Red Hat inc.: https://access.redhat.com/security/cve/cve-2022-35252 Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-97e8d1d29c https://bodhi.fedoraproject.org/updates/FEDORA-2022-5131c26a69 https://bodhi.fedoraproject.org/updates/FEDORA-2022-20e0f8d1cd Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения curl до версии 7.87.0-2 Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-curl-cve-2022-35252/?sphrase_id=70084 https://goslinux.fssp.gov.ru/2726972/ https://access.redhat.com/security/cve/cve-2022-35252 https://curl.se/docs/CVE-2022-35252.html https://www.openwall.com/lists/oss-security/2022/08/31/2 https://bodhi.fedoraproject.org/updates/FEDORA-2022-97e8d1d29c https://bodhi.fedoraproject.org/updates/FEDORA-2022-5131c26a69 https://bodhi.fedoraproject.org/updates/FEDORA-2022-20e0f8d1cd https://bugzilla.redhat.com/show_bug.cgi?id=2120718 https://bugzilla.redhat.com/show_bug.cgi?id=2122881 https://hackerone.com/reports/1613943 https://nvd.nist.gov/vuln/detail/CVE-2022-35252 https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-35252
Прочая информация	Данные уточняются

Последние изменения