Описание уязвимости | Уязвимость функции win_redr_ruler() текстового редактора Vim связана с выходом операции за границы буфера в памяти при использовании индекса отрицательного массива с окном отрицательной ширины. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или выполнить произвольный код с помощью специально созданного файла |
Вендор | ООО «Ред Софт», ООО «РусБИТех-Астра», ФССП России, Red Hat Inc., Сообщество свободного программного обеспечения, АО "НППКТ" |
Наименование ПО | РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, Red Hat Enterprise Linux, vim, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913) |
Версия ПО | 7.3 (РЕД ОС), 1.7 (Astra Linux Special Edition), ИК6 (ОС ТД АИС ФССП России), 9 (Red Hat Enterprise Linux), до 9.0.0598 (vim), 4.7 (Astra Linux Special Edition), до 2.6 (ОСОН ОСнова Оnyx) |
Тип ПО | Операционная система, Прикладное ПО информационных систем |
Операционные системы и аппаратные платформы |
|
Тип ошибки | Переполнение буфера в стеке, Запись за границами буфера |
Идентификатор типа ошибки | CWE-121, CWE-787 |
Класс уязвимости | Уязвимость кода |
Дата выявления | 25.09.2022 |
Базовый вектор уязвимости |
|
Уровень опасности уязвимости | Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8) |
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для Vim: https://github.com/vim/vim/commit/8279af514ca7e5fd3c31cf13b0864163d1a0bfeb Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-3324 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения vim до версии 2:9.0.0626-1 Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD |
Статус уязвимости | Подтверждена производителем |
Наличие эксплойта | Существует в открытом доступе |
Способ эксплуатации |
|
Способ устранения | Обновление программного обеспечения |
Информация об устранении | Уязвимость устранена |
Ссылки на источники |
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-vim-cve-2022-3278-cve-2022-3297-cve-2022-3296-cve-2022-3324/
https://access.redhat.com/security/cve/cve-2022-3324
https://goslinux.fssp.gov.ru/2726972/
https://github.com/vim/vim/commit/8279af514ca7e5fd3c31cf13b0864163d1a0bfeb
https://huntr.dev/bounties/e414e55b-f332-491f-863b-c18dca97403c
https://nvd.nist.gov/vuln/detail/CVE-2022-3324
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
|
Идентификаторы других систем описаний уязвимостей |
|
Прочая информация | Данные уточняются |