СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Уязвимости
ФСТЭК России
18.02.2022
#ИБ

Уязвимость BDU:2022-00892

Уязвимость BDU:2022-00892

Идентификатор: BDU:2022-00892.

Наименование уязвимости: Уязвимость системы управления базами данных (СУБД) Redis операционных систем Debian GNU/Linux, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость системы управления базами данных (СУБД) Redis операционных систем Debian GNU/Linux связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 11 | Прикладное ПО информационных систем Redis Labs Redis до 5.0.14 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.4.3 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 10 | Debian GNU/Linux 11 | ОСОН ОСнова Оnyx до 26 | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 18.02.2022.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению:
Использование рекомендаций:
Для redis:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1005787

Для Debian GNU/Linux:
https://lists.debian.org/debian-security-announce/2022/msg00048.html
https://www.debian.org/security/2022/dsa-5081

Для ОСОН Основа:
Обновление программного обеспечения redis до версии 5:5.0.14-1+deb10u2

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения redis до версии 5:7.0.5-1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения redis до версии 5:6.0.16-1+deb11u2strelets.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-0543.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1005787
https://lists.debian.org/debian-security-announce/2022/msg00048.html
https://www.debian.org/security/2022/dsa-5081
https://www.cybersecurity-help.cz/vdb/SB2022022121
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
https://blog.aquasec.com/redigo-redis-backdoor-malware
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
http://packetstormsecurity.com/files/166885/Redis-Lua-Sandbox-Escape.html

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: