Уязвимость BDU:2022-00988
Идентификатор: BDU:2022-00988.
Наименование уязвимости: Уязвимость функции init_ccline() (ex_getln.c) текстового редактора vim, позволяющая нарушителю вызвать переполнение буфера.
Описание уязвимости: Уязвимость функции init_ccline() (ex_getln.c) текстового редактора vim вызвана переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю вызвать переполнение буфера
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Операционная система Fedora Project Fedora 34 | Операционная система Debian GNU/Linux 11 | Операционная система Fedora Project Fedora 35 | Прикладное ПО информационных систем vim до 8.2.4214 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |
Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Astra Linux Special Edition 16 «Смоленск» | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Astra Linux Special Edition для «Эльбрус» 81 «Ленинград» | Fedora 34 | Debian GNU/Linux 11 | Fedora 35 | Альт 8 СП — | Astra Linux Special Edition 47 ARM | ROSA Virtualization 21 | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 26.01.2022.
CVSS 2.0: AV:L/AC:M/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению:
Использование рекомендаций:
Для vim:
https://github.com/vim/vim/commit/85b6747abc15a7a81086db31289cf1b8b17e6cb1
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-0359.xml
Для Fedora:
https://lists.fedoraproject.org/archives/search?mlist=package-announce%40lists.fedoraproject.org&q=CVE-2022-0359
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0359
Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2214
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения vim до версии 2:8.0.0197-4+deb9u7.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-0359.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://huntr.dev/bounties/a3192d90-4f82-4a67-b7a6-37046cc88def
https://github.com/vim/vim/commit/85b6747abc15a7a81086db31289cf1b8b17e6cb1
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-0359.xml
https://lists.fedoraproject.org/archives/search?mlist=package-announce%40lists.fedoraproject.org&q=CVE-2022-0359
https://security-tracker.debian.org/tracker/CVE-2022-0359
https://altsp.su/obnovleniya-bezopasnosti/
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2214
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
