Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-02749

CVSS: 7.7

25.05.2021

Уязвимость функции ngx_resolver_copy() сервера nginx, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Уязвимость функции ngx_resolver_copy() сервера nginx связана с ошибкой единичного смещения в результате записи символа точки ('.', 0x2E) за пределы буфера кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании путем отправки специально созданных UDP-пакетов

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	25.05.2021
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для nginx: http://nginx.org/en/security_advisories.html Для РЕД ОС: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-23017 Для Ubuntu: https://ubuntu.com/security/notices/USN-4967-1 https://ubuntu.com/security/notices/USN-4967-2 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-23017 Для ОСОН Основа: Обновление программного обеспечения nginx до версии 1.14.2-2+deb10u4 Для ОС ОН «Стрелец»: Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GNKOP2JR5L7KCIZTJRZDCUPJTUONMC5I/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7SFVYHC7OXTEO4SMBWXDVK6E5IMEYMEE/ Для продуктов Oracle: https://www.oracle.com/security-alerts/cpuoct2021.html https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpuapr2022.html Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-193	Ошибка смещения на единицу

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2021-23017	A security issue in nginx resolver was identified, which might allow an attacker who is able to forge UDP packets from the DN...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.3	HIGH	2.0	AV:N/AC:H/Au:N/C:C/I:C/A:P
7.7	HIGH	3.0	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L

Идентификаторы других систем описаний уязвимостей

CVE-2021-23017

Вендор:	Сообщество свободного программного обеспечения Canonical Ltd. Oracle Corp. Red Hat Inc. ООО «Ред Софт» Fedora Project NGINX Inc. АО «ИВК» АО "НППКТ" АО «Концерн ВНИИНС»
Тип ПО:	Операционная система Прикладное ПО информационных систем Сетевое программное средство Средство защиты Программное средство защиты Сетевое средство
Наименование ПО:	Debian GNU/Linux Ubuntu Oracle Communications Operations Monitor Red Hat Enterprise Linux РЕД ОС Red Hat Software Collections Ansible Tower Fedora Oracle Communications Session Border Controller Oracle Enterprise Session Border Controller nginx Альт 8 СП Blockchain Platform ОСОН ОСнова Оnyx Enterprise Communications Broker ОС ОН «Стрелец» GoldenGate Oracle Enterprise Telephony Fraud Monitor Oracle Communications Fraud Monitor Oracle Communications Control Plane Monitor
Версия ПО:	9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 3.4 (Oracle Communications Operations Monitor) 8 (Red Hat Enterprise Linux) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) 7.2 Муром (РЕД ОС) - (Red Hat Software Collections) 20.04 LTS (Ubuntu) 20.10 (Ubuntu) 3 (Ansible Tower) 33 (Fedora) 8.4 (Oracle Communications Session Border Controller) 8.4 (Oracle Enterprise Session Border Controller) 21.04 (Ubuntu) 4.2 (Oracle Communications Operations Monitor) 4.3 (Oracle Communications Operations Monitor) 34 (Fedora) 16.04 ESM (Ubuntu) от 0.6.18 до 1.20.1 (nginx) - (Альт 8 СП) 9.0 (Oracle Enterprise Session Border Controller) 4.4 (Oracle Communications Operations Monitor) до 21.1.2 (Blockchain Platform) до 2.1 (ОСОН ОСнова Оnyx) 3.3 (Enterprise Communications Broker) до 16.01.2023 (ОС ОН «Стрелец») 9.0 (Oracle Communications Session Border Controller) до 21.4.0.0.0 (GoldenGate) 3.4 (Oracle Enterprise Telephony Fraud Monitor) 4.2 (Oracle Enterprise Telephony Fraud Monitor) 4.3 (Oracle Enterprise Telephony Fraud Monitor) 4.4 (Oracle Enterprise Telephony Fraud Monitor) от 3.4 до 4.4 включительно (Oracle Communications Fraud Monitor) 3.4 (Oracle Communications Control Plane Monitor) 4.2 (Oracle Communications Control Plane Monitor) 4.3 (Oracle Communications Control Plane Monitor) 4.4 (Oracle Communications Control Plane Monitor)
ОС и аппаратные платформы:	Debian GNU/Linux (9) Ubuntu (18.04 LTS) Red Hat Enterprise Linux (8) Ubuntu (14.04 ESM) Debian GNU/Linux (10) РЕД ОС (7.2 Муром) Ubuntu (20.04 LTS) Ubuntu (20.10) Fedora (33) Ubuntu (21.04) Fedora (34) Ubuntu (16.04 ESM) Альт 8 СП (-) ОСОН ОСнова Оnyx (до 2.1) ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	http://nginx.org/en/security_advisories.html https://redos.red-soft.ru/updatesec/ https://www.cybersecurity-help.cz/vdb/SB2021052543 https://www.opennet.ru/opennews/art.shtml?num=55208 https://access.redhat.com/security/cve/cve-2021-23017 https://ubuntu.com/security/notices/USN-4967-1 https://ubuntu.com/security/notices/USN-4967-2 https://security-tracker.debian.org/tracker/CVE-2021-23017 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023 https://redos.red-soft.ru/support/secure/uyazvimosti/udalennoe-vypolnenie-koda-v-nginx-cve-2021-23017/ https://www.oracle.com/security-alerts/cpuoct2021.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GNKOP2JR5L7KCIZTJRZDCUP... https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7SFVYHC7OXTEO4SMBWXDVK6... https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpuapr2022.html https://altsp.su/obnovleniya-bezopasnosti/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-02749