Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00576: Уязвимость программного средства разработки GNU Binutils, связанная с разыменованием нулевого указателя, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании» (DoS)

Описание уязвимости	Уязвимость программного средства разработки GNU Binutils связана с ошибкой доступа к памяти. Эксплуатация уязвимости может позволить нарушителю выполнить атаку типа «отказ в обслуживании» (DoS) при анализе файла ELF, содержащего поврежденную информацию о версии символа
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, GNU General Public License
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, GNU Binutils
Версия ПО	7 (Red Hat Enterprise Linux) 8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) 11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) 9 (Red Hat Enterprise Linux) до 2.39-7 (GNU Binutils)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки	Разыменование указателя NULL
Идентификатор типа ошибки	CWE-476
Класс уязвимости	Уязвимость кода
Дата выявления	27.01.2023
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для binutils: https://sourceware.org/bugzilla/show_bug.cgi?id=29699 https://sourceware.org/git/gitweb.cgi?p=binutils-gdb.git;h=5c831a3c7f3ca98d6aba1200353311e1a1f84c70 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-4285 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-4285 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://sourceware.org/bugzilla/show_bug.cgi?id=29699 https://sourceware.org/git/gitweb.cgi?p=binutils-gdb.git;h=5c831a3c7f3ca98d6aba1200353311e1a1f84c70 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://access.redhat.com/security/cve/CVE-2022-4285 https://security-tracker.debian.org/tracker/CVE-2022-4285 https://goslinux.fssp.gov.ru/2726972/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-4285
Прочая информация	Данные уточняются

Последние изменения