Идентификатор: BDU:2022-03285.
Наименование уязвимости: Уязвимость компонента lrzip.c:initialise_control программного средства Irzip, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.
Описание уязвимости: Уязвимость компонента lrzip.c:initialise_control программного средства Irzip вызвана переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Уязвимое ПО: Прикладное ПО информационных систем Irzip 0.640 | Операционная система АО “НППКТ” ОСОН ОСнова Оnyx до 2.5 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 15.04.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Обновление программного средства Irzip до более новой версии.
Для Debian GNU/Linux:
https://www.debian.org/security/2022/dsa-5145
Для ОСОН Основа:
Обновление программного обеспечения lrzip до версии 0.631+git180528-1+deb10u1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-28044.
Тип ошибки CWE: CWE-787
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.debian.org/security/2022/dsa-5145
https://vuldb.com/ru/?id.176822
https://github.com/ckolivas/lrzip/issues/216
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
