Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06692: Уязвимость утилиты командной строки cURL, связанная с передачей данных в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость утилиты командной строки cURL связана с передачей данных в открытом виде. Эксплуатация уязвимости может позволить нарушителю, действующеуму удаленно, получить несанкционированный доступ к защищаемой информации
Вендор	Canonical Ltd., Сообщество свободного программного обеспечения, Red Hat Inc., ООО «Ред Софт», Novell Inc., АО «ИВК», Fedora Project, Daniel Stenberg
Наименование ПО	Ubuntu, Debian GNU/Linux, JBoss Core Services, РЕД ОС (запись в едином реестре российских программ №3751), OpenSUSE Leap, Альт 8 СП, Fedora, Suse Linux Enterprise Server, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, curl
Версия ПО	18.04 LTS (Ubuntu) 10.0 (Debian GNU/Linux) - (JBoss Core Services) 20.04 LTS (Ubuntu) 11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) 15.4 (OpenSUSE Leap) - (Альт 8 СП) 36 (Fedora) 15 SP4 (Suse Linux Enterprise Server) 15 SP4 (Suse Linux Enterprise Desktop) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 22.04 LTS (Ubuntu) 22.10 (Ubuntu) от 7.77.0 до 7.85.0 включительно (curl)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 18.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Canonical Ltd. Ubuntu 20.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Novell Inc. OpenSUSE Leap 15.4 АО «ИВК» Альт 8 СП - Fedora Project Fedora 36 Novell Inc. Suse Linux Enterprise Server 15 SP4 Novell Inc. Suse Linux Enterprise Desktop 15 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 Canonical Ltd. Ubuntu 22.04 LTS Canonical Ltd. Ubuntu 22.10
Тип ошибки	Передача секретной информации в виде открытого текста
Идентификатор типа ошибки	CWE-319
Класс уязвимости	Уязвимость архитектуры
Дата выявления	26.10.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для cURL: https://curl.se/docs/CVE-2022-42916.html Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-42916 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Ubuntu: https://ubuntu.com/security/CVE-2022-42916 https://ubuntu.com/security/notices/USN-5702-1 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-42916.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HVU3IMZCKR4VE6KJ4GCWRL2ILLC6OV76/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-42916 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://curl.se/docs/CVE-2022-42916.html https://security-tracker.debian.org/tracker/CVE-2022-42916 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://ubuntu.com/security/CVE-2022-42916 https://ubuntu.com/security/notices/USN-5702-1 https://www.suse.com/security/cve/CVE-2022-42916.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HVU3IMZCKR4VE6KJ4GCWRL2ILLC6OV76/ https://access.redhat.com/security/cve/CVE-2022-42916 https://altsp.su/obnovleniya-bezopasnosti/ https://altsp.su/obnovleniya-bezopasnosti/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-42916
Прочая информация	Данные уточняются

Последние изменения