БДУ - Print

BDU:2022-03745: Уязвимость функции PAM auth системы управления конфигурациями и удалённого выполнения операций Salt, позволяющая нарушителю выполнять произвольные команды

Описание уязвимости	Уязвимость функции PAM auth системы управления конфигурациями и удалённого выполнения операций Salt связана с отсутствием действительной блокировки "заблокированных учетных записей". Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнять произвольные команды
Вендор	Novell Inc., Сообщество свободного программного обеспечения, SaltStack, Inc
Наименование ПО	SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE Linux Enterprise High Performance Computing, SUSE Enterprise Storage, SUSE CaaS Platform, Salt, SUSE Manager Tools
Версия ПО	12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 12 SP4 (SUSE Linux Enterprise Server for SAP Applications), 9.0 (Debian GNU/Linux), 12 SP3 (Suse Linux Enterprise Server), 12 SP4 (Suse Linux Enterprise Server), 12 (SUSE Linux Enterprise High Performance Computing), 15 SP1 (SUSE Linux Enterprise Server for SAP Applications), 10.0 (Debian GNU/Linux), 12 SP5 (Suse Linux Enterprise Server), 12 SP5 (SUSE Linux Enterprise Server for SAP Applications), 6 (SUSE Enterprise Storage), 12 (SUSE Linux Enterprise Server for SAP Applications), 4.0 (SUSE CaaS Platform), 15 SP1-BCL (Suse Linux Enterprise Server), 15 SP1-LTSS (Suse Linux Enterprise Server), 15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing), 15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing), 11.0 (Debian GNU/Linux), 12 (Suse Linux Enterprise Server), до 3002.9 (Salt), до 3003.5 (Salt), до 3004.2 (Salt), 12 (SUSE Manager Tools)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана Novell Inc. Suse Linux Enterprise Server 12 SP3 Не указана Novell Inc. Suse Linux Enterprise Server 12 SP4 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана Novell Inc. Suse Linux Enterprise Server 12 SP5 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 Не указана Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Не указана Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 Не указана Novell Inc. Suse Linux Enterprise Server 12 Не указана
Тип ошибки	Неправильная авторизация
Идентификатор типа ошибки	CWE-285
Класс уязвимости	Уязвимость кода
Дата выявления	23.06.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Salt: https://saltproject.io/security_announcements/salt-security-advisory-release-june-21st-2022/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-22967 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-22967.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://vuldb.com/?id.202533 https://saltproject.io/security_announcements/salt-security-advisory-release-june-21st-2022/ https://repo.saltproject.io/ https://security-tracker.debian.org/tracker/CVE-2022-22967 https://www.suse.com/security/cve/CVE-2022-22967.html
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-22967
Прочая информация	Данные уточняются