BDU:2022-04273: Уязвимость базы данных учетных записей passdb почтового сервера Dovecot. позволяющая нарушителю повысить свои привилегии

Описание уязвимости Уязвимость базы данных учетных записей passdb почтового сервера Dovecot связана с ошибками в конфигурации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Вендор ООО «Ред Софт», ООО «РусБИТех-Астра», ФССП России, АО «ИВК», Timo Sirainen, АО "НППКТ"
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, Альт 8 СП (запись в едином реестре российских программ №4305), Dovecot, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО 7.3 (РЕД ОС), 1.7 (Astra Linux Special Edition), ИК6 (ОС ТД АИС ФССП России), - (Альт 8 СП), до 2.2 включительно (Dovecot), 4.7 (Astra Linux Special Edition), до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Неправильный контроль доступа
Идентификатор типа ошибки CWE-284
Класс уязвимости Уязвимость кода
Дата выявления 06.07.2022
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:C/A:N
  • CVSS 3.0: AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Devocot:
Обновление программного обеспечения до актуальной версии

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения dovecot до версии 1:2.3.19.1+dfsg1-2osnova0

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
  • CVE: CVE-2022-30550
Прочая информация Данные уточняются