Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-03580

CVSS: 3.1

27.04.2021

Уязвимость функции sscanf() библиотеки libcurl программного средства для взаимодействия с серверами CURL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость функции sscanf() библиотеки libcurl программного средства для взаимодействия с серверами CURL связана с использованием неинициализированного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	27.04.2021
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: https://github.com/curl/curl/commit/39ce47f219b09c380b81f89fe54ac586c8db6bde Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-22898 Для продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-22898/ Для Apache Guacamole: https://lists.apache.org/thread.html/rc713534b10f9daeee2e0990239fa407e2118e4aa9e88a7041177497c@%3Cissues.guacamole.apache.org%3E Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16 использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОСОН Основа: Обновление программного обеспечения curl до версии 7.80.0-3 Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет curl до 7.52.1-5+deb9u16 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 Для ОС ОН «Стрелец»: Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-200	Разглашение важной информации лицам без соответствующих прав
CWE-457	Использование неинициализированной переменной
CWE-908	CWE-908: Use of Uninitialized Resource
CWE-909	CWE-909 Missing Initialization of Resource

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2021-22898	curl 7.7 through 7.76.1 suffers from an information disclosure when the `-t` command line option, known as `CURLOPT_TELNETOPT...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
2.6	LOW	2.0	AV:N/AC:H/Au:N/C:P/I:N/A:N
3.1	LOW	3.0	AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2021-22898

Вендор:	ООО «РусБИТех-Астра» Novell Inc. Red Hat Inc. Дэниел Стенберг Apache Software Foundation АО «ИВК» АО "НППКТ" АО «Концерн ВНИИНС»
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	Astra Linux Special Edition SUSE Linux Enterprise Server for SAP Applications Red Hat Enterprise Linux SUSE Linux Enterprise Point of Sale Suse Linux Enterprise Server SUSE Linux Enterprise Software Development Kit Red Hat Software Collections Astra Linux Special Edition для «Эльбрус» SUSE Linux Enterprise High Performance Computing OpenSUSE Leap SUSE MicroOS cURL Apache Guacamole Альт 8 СП ОСОН ОСнова Оnyx ОС ОН «Стрелец»
Версия ПО:	1.6 «Смоленск» (Astra Linux Special Edition) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 8 (Red Hat Enterprise Linux) 11 SP3 (SUSE Linux Enterprise Point of Sale) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 11 SP4-LTSS (Suse Linux Enterprise Server) 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications) 12 SP5 (Suse Linux Enterprise Server) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 12 SP5 (SUSE Linux Enterprise Software Development Kit) 11-SECURITY (Suse Linux Enterprise Server) 11-SECURITY (SUSE Linux Enterprise Server for SAP Applications) - (Red Hat Software Collections) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 15-ESPOS (SUSE Linux Enterprise High Performance Computing) 15-LTSS (SUSE Linux Enterprise High Performance Computing) 15-LTSS (Suse Linux Enterprise Server) 15.2 (OpenSUSE Leap) 12 SP4-ESPOS (Suse Linux Enterprise Server) 12 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications) 12 SP4-LTSS (Suse Linux Enterprise Server) 15 SP1-BCL (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing) 15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing) 5.0 (SUSE MicroOS) 15.3 SLE Imports (OpenSUSE Leap) от 7.7 до 7.76.1 включительно (cURL) 1.3.0 (Apache Guacamole) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) - (Альт 8 СП) до 2.4.3 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
ОС и аппаратные платформы:	Astra Linux Special Edition (1.6 «Смоленск») SUSE Linux Enterprise Server for SAP Applications (12 SP4) Red Hat Enterprise Linux (8) SUSE Linux Enterprise Server for SAP Applications (15) SUSE Linux Enterprise Server for SAP Applications (15 SP1) Suse Linux Enterprise Server (11 SP4-LTSS) SUSE Linux Enterprise Server for SAP Applications (11 SP4-LTSS) Suse Linux Enterprise Server (12 SP5) SUSE Linux Enterprise Server for SAP Applications (12 SP5) Suse Linux Enterprise Server (11-SECURITY) SUSE Linux Enterprise Server for SAP Applications (11-SECURITY) Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград») Suse Linux Enterprise Server (15-LTSS) OpenSUSE Leap (15.2) Suse Linux Enterprise Server (12 SP4-ESPOS) SUSE Linux Enterprise Server for SAP Applications (12 SP4-LTSS) Suse Linux Enterprise Server (12 SP4-LTSS) Suse Linux Enterprise Server (15 SP1-BCL) Suse Linux Enterprise Server (15 SP1-LTSS) SUSE MicroOS (5.0) OpenSUSE Leap (15.3 SLE Imports) Astra Linux Special Edition (1.7) Astra Linux Special Edition (4.7) Альт 8 СП (-) ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	https://nvd.nist.gov/vuln/detail/CVE-2021-22898 https://access.redhat.com/security/cve/cve-2021-22898 https://www.suse.com/security/cve/CVE-2021-22898/ https://lists.apache.org/thread.html/rc713534b10f9daeee2e0990239fa407e2118e4aa9e88a7041177497c@%3Cissues.guacamole.apach... https://curl.se/docs/CVE-2021-22898.html https://github.com/curl/curl/commit/39ce47f219b09c380b81f89fe54ac586c8db6bde https://hackerone.com/reports/1176461 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/ https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://altsp.su/obnovleniya-bezopasnosti/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-03580

BDU:2021-03580

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей