Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06489: Уязвимость компонента Crash Report функции sigsegvHandler файла debug.c системы управления базами данных Redis, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость компонента Crash Report функции sigsegvHandler файла debug.c системы управления базами данных Redis связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Red Hat Inc., ООО «Ред Софт», Redis Labs
Наименование ПО	Red Hat Enterprise Linux, Jboss Fuse, Red Hat Software Collections, Red Hat OpenStack Platform, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat Advanced Cluster Management for Kubernetes, Redis
Версия ПО	8 (Red Hat Enterprise Linux) 7 (Jboss Fuse) - (Red Hat Software Collections) 13.0 (Queens) (Red Hat OpenStack Platform) 7.3 (РЕД ОС) 2 (Red Hat Advanced Cluster Management for Kubernetes) 9 (Red Hat Enterprise Linux) до 2022-09-29 (Redis)
Тип ПО	Операционная система, Прикладное ПО информационных систем, ПО программно-аппаратного средства, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 8 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки	Некорректная зачистка или освобождение ресурсов
Идентификатор типа ошибки	CWE-404
Класс уязвимости	Уязвимость кода
Дата выявления	21.10.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств антивирусной защиты; - использование средств межсетевого экранирования с целью ограничения возможности получения доступа к базе данных. Использование рекомендаций: Для Redis: https://github.com/redis/redis/commit/0bf90d944313919eb8e63d3588bf63a367f020a3 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-3647 Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-redis-cve-2022-3647/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/redis/redis/commit/0bf90d944313919eb8e63d3588bf63a367f020a3 https://vuldb.com/?id.211962 https://access.redhat.com/security/cve/cve-2022-3647 https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-redis-cve-2022-3647/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-3647
Прочая информация	Данные уточняются

Последние изменения