BDU:2022-06663: Уязвимость функции qf_update_buffer (quickfix.c) текстового редактора Vim, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости Уязвимость функции qf_update_buffer (quickfix.c) текстового редактора Vim связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», АО «ИВК», Fedora Project
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, Fedora, vim
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 11.0 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • - (Альт 8 СП)
  • 36 (Fedora)
  • 9 (Red Hat Enterprise Linux)
  • до 9.0.0805 (vim)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • АО «ИВК» Альт 8 СП -
  • Fedora Project Fedora 36
  • Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки Выход операции за границы буфера в памяти, Использование после освобождения
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 26.10.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Vim:
https://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4JCW33NOLMELTTTDJH7WGDIFJZ5YEEMK/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3705

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-3705

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-vim-cve-2022-3705/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения