Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06193: Уязвимость утилиты командной строки cURL, связанная с недостаточной проверкой входных данных, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость утилиты командной строки cURL связана с недостаточной проверкой входных данных при обработке файлов cookie с контрольными кодами, значения байтов которых меньше 32. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании (ошибка 400 Bad Request) путем отправки cookie-файлов
Вендор	Red Hat Inc., Fedora Project, ООО «Ред Софт», ФССП России, АО «ИВК», Дэниел Стенберг
Наименование ПО	Red Hat Enterprise Linux, JBoss Core Services, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Альт 8 СП, cURL
Версия ПО	8 (Red Hat Enterprise Linux) - (JBoss Core Services) 35 (Fedora) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) - (Альт 8 СП) 36 (Fedora) 9 (Red Hat Enterprise Linux) 37 (Fedora) от 4.9 до 7.84.0 включительно (cURL)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 8 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 АО «ИВК» Альт 8 СП - Fedora Project Fedora 36 Red Hat Inc. Red Hat Enterprise Linux 9 Fedora Project Fedora 37
Тип ошибки	Недостаточная проверка вводимых данных, Неправильная проверка синтаксической корректности ввода
Идентификатор типа ошибки	CWE-20 CWE-1286
Класс уязвимости	Уязвимость кода
Дата выявления	26.06.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для cURL: https://curl.se/docs/CVE-2022-35252.html https://github.com/curl/curl/commit/8dfc93e573ca740544a2d79ebb Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для продуктов Red Hat inc.: https://access.redhat.com/security/cve/cve-2022-35252 Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-97e8d1d29c https://bodhi.fedoraproject.org/updates/FEDORA-2022-5131c26a69 https://bodhi.fedoraproject.org/updates/FEDORA-2022-20e0f8d1cd Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-curl-cve-2022-35252/?sphrase_id=70084 https://goslinux.fssp.gov.ru/2726972/ https://access.redhat.com/security/cve/cve-2022-35252 https://curl.se/docs/CVE-2022-35252.html https://www.openwall.com/lists/oss-security/2022/08/31/2 https://bodhi.fedoraproject.org/updates/FEDORA-2022-97e8d1d29c https://bodhi.fedoraproject.org/updates/FEDORA-2022-5131c26a69 https://bodhi.fedoraproject.org/updates/FEDORA-2022-20e0f8d1cd https://bugzilla.redhat.com/show_bug.cgi?id=2120718 https://bugzilla.redhat.com/show_bug.cgi?id=2122881 https://hackerone.com/reports/1613943 https://nvd.nist.gov/vuln/detail/CVE-2022-35252 https://altsp.su/obnovleniya-bezopasnosti/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-35252
Прочая информация	Данные уточняются

Последние изменения