БДУ - Уязвимости

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06403: Уязвимость виртуальной обучающей среды Moodle, связанная с неправильной проверкой входных данных, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость виртуальной обучающей среды Moodle связана с неправильной проверкой входных данных при синтаксическом анализе файлов PostScript. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Fedora Project, ООО «Ред Софт», ФССП России, Мартин Дугамас
Наименование ПО	Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Мoodle
Версия ПО	35 (Fedora) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) 36 (Fedora) от 3.9.0 до 3.9.15 (Мoodle) от 3.11.0 до 3.11.8 (Мoodle) от 4.0.0 до 4.0.2 (Мoodle)
Тип ПО	Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы	Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 Fedora Project Fedora 36
Тип ошибки	Недостаточная проверка вводимых данных, Неверное управление генерацией кода (Внедрение кода)
Идентификатор типа ошибки	CWE-20 CWE-94
Класс уязвимости	Уязвимость кода
Дата выявления	22.06.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Moodle: https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75044 https://moodle.org/mod/forum/discuss.php?d=436456 Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-moodle-cve-2022-40316-cve-2022-40315-cve-2022-40314-cve-2022-40313-cve-20/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6MOKYVRNFNAODP2XSMGJ5CRDUZCZKAR3/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTKUSFPSYFINSQFSOHDQIDVE6FWBEU6V/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-moodle-cve-2022-40316-cve-2022-40315-cve-2022-40314-cve-2022-40313-cve-20/ https://bugzilla.redhat.com/show_bug.cgi?id=2106273 https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75044 https://moodle.org/mod/forum/discuss.php?d=436456 https://goslinux.fssp.gov.ru/2726972/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6MOKYVRNFNAODP2XSMGJ5CRDUZCZKAR3/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTKUSFPSYFINSQFSOHDQIDVE6FWBEU6V/ https://nvd.nist.gov/vuln/detail/CVE-2022-35649 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-moodle-cve-2022-40316-cve-2022-40315-cve-2022-40314-cve-2022-40313-cve-20/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-35649
Прочая информация	Данные уточняются