СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
26.12.2021

Уязвимость BDU:2022-03039

Уязвимость BDU:2022-03039

Идентификатор: BDU:2022-03039.

Наименование уязвимости: Уязвимость функции exec() интерпретатора команд ShellJS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить привилегии или вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции exec() интерпретатора команд ShellJS связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации, повысить привилегии или вызвать отказ в обслуживании с помощью специально созданных Stdout/Stderr файлов
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ФССП России ОС ТД АИС ФССП России ИК6 | Сетевое средство, Сетевое программное средство Red Hat Inc. Red Hat Advanced Cluster Management for Kubernetes 2.3 | Сетевое средство, Сетевое программное средство Red Hat Inc. Red Hat Advanced Cluster Management for Kubernetes 2.4 | Прикладное ПО информационных систем Nate Fischer, Brandon Freitag ShellJS от 0.0.2 до 0.8.5 |

Наименование ОС и тип аппаратной платформы: РЕД ОС 73 | ОС ТД АИС ФССП России ИК6 |
Дата выявления: 26.12.2021.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению:
Использование рекомендаций:
Для ShellJS:
https://github.com/shelljs/shelljs/pull/1060

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-0144

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Организационные меры:
Файлы stdout, stderr и paramFiles, созданные при выполнении exec(), должны иметь только права на чтение и запись, доступные для текущего процесса. Это можно сделать с помощью предварительного создания файлов paramFile, stderr и stdout и их блокировки перед выполнением любой операции записи..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-0144.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/shelljs/shelljs/pull/1060
https://nvd.nist.gov/vuln/detail/CVE-2022-0144
https://access.redhat.com/security/cve/cve-2022-0144
https://github.com/shelljs/shelljs/commit/d919d22dd6de385edaa9d90313075a77f74b338c
https://huntr.dev/bounties/50996581-c08e-4eed-a90e-c0bac082679c
https://vuldb.com/?id.190006
https://redos.red-soft.ru/support/secure/
https://goslinux.fssp.gov.ru/2726972/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: