Уязвимость BDU:2022-01026

Идентификатор: BDU:2022-01026.

Наименование уязвимости: Уязвимость компонента ex_cmds.c текстового редактора vim, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость компонента ex_cmds.c текстового редактора vim вызвана переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Операционная система Debian GNU/Linux 11 | Прикладное ПО информационных систем vim до 8.2.4215 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Astra Linux Special Edition 16 «Смоленск» | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Astra Linux Special Edition для «Эльбрус» 81 «Ленинград» | Debian GNU/Linux 11 | Альт 8 СП — | Astra Linux Special Edition 47 ARM | ROSA Virtualization 21 | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 26.01.2022.
CVSS 2.0: AV:L/AC:M/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению:
Использование рекомендаций:
Для vim:

https://github.com/vim/vim/commit/dc5490e2cbc8c16022a23b449b48c1bd0083f366

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-0361.xml

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-0361

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2215

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения vim до версии 2:8.0.0197-4+deb9u7.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-0361.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://huntr.dev/bounties/a055618c-0311-409c-a78a-99477121965b
https://github.com/vim/vim/commit/dc5490e2cbc8c16022a23b449b48c1bd0083f366
https://altsp.su/obnovleniya-bezopasnosti/

https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-0361.xml

https://security-tracker.debian.org/tracker/CVE-2022-0361
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2215
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023