Уязвимость BDU:2022-04190

Дата: 09.06.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04190.

Наименование уязвимости: Уязвимость гипервизора Xen, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость гипервизора Xen связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Уязвимое ПО: Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 6 | Прикладное ПО информационных систем Novell Inc. SUSE CaaS Platform 4.0 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP1-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP1-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP3 | Операционная система Novell Inc. OpenSUSE Leap 15.3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Server Applications 15 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Proxy 4.2 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Server 4.2 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 7 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Server 4.1 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Proxy 4.1 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP2-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP2-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.1 | Сетевое средство, Сетевое программное средство Novell Inc. SUSE Manager Retail Branch Server 4.1 | Операционная система Fedora Project Fedora 36 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL | Сетевое средство, Сетевое программное средство Novell Inc. SUSE Manager Retail Branch Server 4.2 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.2 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS | ПО виртуализации/ПО виртуального программно-аппаратного средства Citrix Systems Inc. Xen до 4.15-2 | ПО виртуализации/ПО виртуального программно-аппаратного средства Citrix Systems Inc. Xen до 4.16-2 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |

Наименование ОС и тип аппаратной платформы: SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Suse Linux Enterprise Server 12 SP5 | SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Suse Linux Enterprise Server 15 SP1-BCL | Suse Linux Enterprise Server 15 SP1-LTSS | OpenSUSE Leap 153 | Suse Linux Enterprise Server 15 SP3 | SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Suse Linux Enterprise Desktop 15 SP3 | SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Fedora 36 | Suse Linux Enterprise Server 15 SP2-BCL | Suse Linux Enterprise Server 15 SP2-LTSS | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 09.06.2022.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению:
Использование рекомендаций:
Для Xen:
http://xenbits.xen.org/xsa/advisory-402.html
http://xenbits.xen.org/xsa/xsa402/xsa402-4.15-2.patch
http://xenbits.xen.org/xsa/xsa402/xsa402-4.16-2.patch

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-26363.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OH65U6FTTB5MLH5A6Q3TW7KVCGOG4MYI/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения xen до версии 4.16.2-1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-26363.

Тип ошибки CWE: CWE-119
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://safe-surf.ru/upload/VULN/VULN-20220629.8.pdf
http://www.openwall.com/lists/oss-security/2022/06/09/4
http://xenbits.xen.org/xsa/advisory-402.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OH65U6FTTB5MLH5A6Q3TW7KVCGOG4MYI/
https://xenbits.xenproject.org/xsa/advisory-402.txt
https://www.suse.com/security/cve/CVE-2022-26363.html
http://xenbits.xen.org/xsa/xsa402/xsa402-4.15-2.patch
http://xenbits.xen.org/xsa/xsa402/xsa402-4.16-2.patch
https://security.snyk.io/vuln/SNYK-ALPINE314-XEN-2869394
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *