Уязвимость BDU:2022-02304

Идентификатор: BDU:2022-02304.
Наименование уязвимости: Уязвимость программного средства для обновления программного обеспечения Lenovo System Update, связанная с возможностью интерактивного доступа к системе во время процесса установки обновления, который отображает окно командной строки, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями.
Описание уязвимости: Уязвимость программного средства для обновления программного обеспечения Lenovo System Update связана с возможностью интерактивного доступа к системе во время процесса установки обновления, который отображает окно командной строки. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями
Уязвимое ПО: Прикладное ПО информационных систем Lenovo Group Limited Lenovo System Update до 2022-02-25 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 12.04.2022.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
— применение системы разграничения доступа с целью запрета запуска приложения для обновления непривилегированными пользователями;
— использование безопасных процедур для обновления системы;
— удаление программного средства Lenovo System Update.
Использование рекомендаций производителя:
https://support.lenovo.com/us/en/product_security/LEN-76673
Пакеты обновлений системы, выпущенные после 25.02.2022, не затрагиваются.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-0354. LEN-76673.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.infosec.tirol/cve-2022-0354
https://support.lenovo.com/ph/en/product_security/ps500001-lenovo-product-security-advisories
https://vulmon.com/vulnerabilitydetails?qid=CVE-2022-0354&scoretype=cvssv3
https://support.lenovo.com/us/en/product_security/LEN-76673
https://www.infosec.tirol/cve-2022-0354/



