Уязвимость BDU:2022-02263

Дата: 29.07.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-02263.

Наименование уязвимости: Уязвимость инструмента мониторинга Glances, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость инструмента мониторинга Glances связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Debian GNU/Linux 9.0 | Операционная система Debian GNU/Linux 10.0 | Прикладное ПО информационных систем Nicolas Hennion Glances до 3.2.1 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 90 | Debian GNU/Linux 100 |
Дата выявления: 29.07.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Для Glances:
использование рекомендаций производителя: https://github.com/nicolargo/glances/issues/1025

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-23418
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-23418.

Тип ошибки CWE: CWE-611
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/nicolargo/glances/commit/4b87e979afdc06d98ed1b48da31e69eaa3a9fb94
https://github.com/nicolargo/glances/commit/85d5a6b4af31fcf785d5a61086cbbd166b40b07a
https://github.com/nicolargo/glances/commit/9d6051be4a42f692392049fdbfc85d5dfa458b32
https://github.com/nicolargo/glances/issues/1025
https://nvd.nist.gov/vuln/detail/CVE-2021-23418
https://security-tracker.debian.org/tracker/CVE-2021-23418
https://snyk.io/vuln/SNYK-PYTHON-GLANCES-1311807

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.