Уязвимость BDU:2022-06445
Идентификатор: BDU:2022-06445.
Наименование уязвимости: Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP), позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP) связана с ошибками при блочной обработке входных данных и приведении типов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в процессе вычисления хэша с помощью специально сформированных данных
Уязвимое ПО: Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Software Collections — | Операционная система Canonical Ltd. Ubuntu 20.04 LTS | Операционная система Debian GNU/Linux 11 | Операционная система Fedora Project Fedora 35 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система Fedora Project Fedora 36 | Операционная система Canonical Ltd. Ubuntu 22.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Прикладное ПО информационных систем eXtended Keccak Code Package — | Операционная система Canonical Ltd. Ubuntu 22.10 | Прикладное ПО информационных систем PHP Group PHP от 8.0.0 до 8.0.25 | Прикладное ПО информационных систем PHP Group PHP от 8.1.0 до 8.1.12 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.7 | Прикладное ПО информационных систем Python Software Foundation Python от 3.6.0 до 3.7.16 | Прикладное ПО информационных систем Python Software Foundation Python от 3.8.0 до 3.8.16 | Прикладное ПО информационных систем Python Software Foundation Python от 3.9.0 до 3.9.16 | Прикладное ПО информационных систем Python Software Foundation Python от 3.10.0 до 3.10.9 | Прикладное ПО информационных систем PHP Group PHP от 7.2.0 до 7.4.33 | Операционная система АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4 |
Наименование ОС и тип аппаратной платформы: Ubuntu 1804 LTS | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Ubuntu 2004 LTS | Debian GNU/Linux 11 | Fedora 35 | РЕД ОС 73 | Astra Linux Special Edition 17 | Альт 8 СП — | Fedora 36 | Ubuntu 2204 LTS | Red Hat Enterprise Linux 9 | Astra Linux Special Edition 47 ARM | Ubuntu 2210 | ОСОН ОСнова Оnyx до 27 | РОСА ХРОМ 124 |
Дата выявления: 21.10.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
замена встроенной хеш-библиотеки проверенными реализациями из HACL;
— ограничение максимального размера данных, участвующих в одной итерации вычисления хэша.
Использование рекомендаций:
https://github.com/XKCP/XKCP/security/advisories/GHSA-6w4m-2xhg-2658
https://github.com/XKCP/XKCP/commit/fdc6fef075f4e81d6b1bc38364248975e08e340a
Установка обновления для модуля XKCP:
https://github.com/XKCP/XKCP/commit/fdc6fef075f4e81d6b1bc38364248975e08e340a
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-37454
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-37454
Для программных продуктов Python Software Foundation:
https://github.com/python/cpython/issues/98517
https://github.com/python/cpython/commit/0e4e058602d93b88256ff90bbef501ba20be9dd3
https://github.com/python/cpython/commit/857efee6d2d43c5c12fc7e377ce437144c728ab8
https://github.com/python/cpython/commit/948c6794711458fd148a3fa62296cadeeb2ed631
https://github.com/python/cpython/commit/8088c90044ba04cd5624b278340ebf934dbee4a5
https://github.com/python/cpython/commit/6fe2a75b645044ca2b5dac03e8d850567b547a9a
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5717-1
https://ubuntu.com/security/notices/USN-5767-1
https://ubuntu.com/security/notices/USN-5888-1
https://ubuntu.com/security/notices/USN-5767-3
https://ubuntu.com/security/notices/USN-5930-1
https://ubuntu.com/security/notices/USN-5931-1
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3ALQ6BDDPX5HU5YBQOBMDVAA2TSGDKIJ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CMIEXLMTW5GO36HTFFWIPB3OHZXCT3G4/
Для PHP Group:
https://bugs.php.net/bug.php?id=81738
https://github.com/php/php-src/commit/91663a92d1697fc30a7ba4687d73e0f63ec2baa1
https://github.com/php/php-src/commit/248f647724e385bfb8d83aa5b5a5ca3c4ee2c7fd
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u2.osnova10
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u4.osnova10
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2676.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-37454.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://csrc.nist.gov/projects/hash-functions/sha-3-project
https://github.com/XKCP/XKCP/security/advisories/GHSA-6w4m-2xhg-2658
https://mouha.be/sha-3-buffer-overflow/
https://news.ycombinator.com/item?id=33281106
https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
https://security-tracker.debian.org/tracker/CVE-2022-37454
https://access.redhat.com/security/cve/cve-2022-37454
https://github.com/python/cpython/issues/98517
https://github.com/python/cpython/commit/0e4e058602d93b88256ff90bbef501ba20be9dd3
https://github.com/python/cpython/commit/857efee6d2d43c5c12fc7e377ce437144c728ab8
https://github.com/python/cpython/commit/948c6794711458fd148a3fa62296cadeeb2ed631
https://github.com/python/cpython/commit/8088c90044ba04cd5624b278340ebf934dbee4a5
https://github.com/python/cpython/commit/6fe2a75b645044ca2b5dac03e8d850567b547a9a
https://ubuntu.com/security/notices/USN-5717-1
https://ubuntu.com/security/notices/USN-5767-1
https://ubuntu.com/security/notices/USN-5888-1
https://ubuntu.com/security/notices/USN-5767-3
https://ubuntu.com/security/notices/USN-5930-1
https://ubuntu.com/security/notices/USN-5931-1
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3ALQ6BDDPX5HU5YBQOBMDVAA2TSGDKIJ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CMIEXLMTW5GO36HTFFWIPB3OHZXCT3G4/
https://bugs.php.net/bug.php?id=81738
https://github.com/php/php-src/commit/91663a92d1697fc30a7ba4687d73e0f63ec2baa1
https://github.com/php/php-src/commit/248f647724e385bfb8d83aa5b5a5ca3c4ee2c7fd
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://abf.rosa.ru/advisories/ROSA-SA-2025-2676
