Идентификатор: BDU:2022-06911.
Наименование уязвимости: Уязвимость программного средства для взаимодействия с серверами CURL, связанная с записью за границами буфера, позволяющая нарушителю получить доступ к конфиденциальным данным.
Описание уязвимости: Уязвимость программного средства для взаимодействия с серверами CURL связана с записью за границами буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Уязвимое ПО: Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 11 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система АО «ИВК» Альт 8 СП – | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Сетевое средство, Сетевое программное средство Daniel Stenberg curl от 7.16.4 до 7.84.0 |
Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 10 | Debian GNU/Linux 11 | Astra Linux Special Edition 17 | Альт 8 СП – | Astra Linux Special Edition 47 ARM |
Дата выявления: 02.06.2022.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению:
Для CURL:
использование рекомендаций производителя: https://github.com/curl/curl/commit/6ecdf5136b52af747e7bda08db9a748256b1cd09
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-32208
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-32208.
Тип ошибки CWE: CWE-787
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://curl.se/docs/CVE-2022-32208.html
https://github.com/curl/curl/commit/6ecdf5136b52af747e7bda08db9a748256b1cd09
https://hackerone.com/reports/1590071
https://nvd.nist.gov/vuln/detail/CVE-2022-32208
https://security-tracker.debian.org/tracker/CVE-2022-32208
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
https://altsp.su/obnovleniya-bezopasnosti/
