Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2022-03181

CVSS: 8.1

02.04.2022

Уязвимость реализации сценария c_rehash библиотеки OpenSSL, позволяющая нарушителю выполнять произвольные команды

Уязвимость реализации сценария c_rehash библиотеки OpenSSL связана с непринятием мер по нейтрализации метасимволов оболочки при обработке сертификатов в /etc/ssl/certs/. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	02.04.2022
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для OpenSSL: https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e5fd1728ef4c7a5bf7c7a7163ca60370460a6e23 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian: https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html https://www.debian.org/security/2022/dsa-5139 Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-1292 Для продуктов Mitsubishi Electric Corporation: https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 Для ОСОН Основа: Обновление программного обеспечения openssl до версии 1.1.1n-0+deb10u2 Для Astra Linux Special Edition 4.7 (для архитектуры ARM): использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211 Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет openssl до 1.1.1n-0+deb10u3-astra4+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2715

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-77	Некорректная нейтрализация специальных элементов, используемых в командах (внедрение команд)
CWE-78	Некорректная нейтрализация специальных элементов, используемых в системных командах (внедрение команд ОС)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2022-1292	The c_rehash script allows command injection

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20230621-20	21.06.2023	Выполнение произвольного кода в Siemens SINAMICS PERFECT HARMONY GH180 6SR5
VULN:20250602-84	02.06.2025	Выполнение произвольного кода в Dell Secure Connect Gateway

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.6	HIGH	2.0	AV:N/AC:H/Au:N/C:C/I:C/A:C
8.1	HIGH	3.0	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2022-1292

Вендор:	ООО «РусБИТех-Астра» Red Hat Inc. Сообщество свободного программного обеспечения ООО «Ред Софт» ФССП России АО «ИВК» OpenSSL Software Foundation Mitsubishi Electric Corporation АО "НППКТ" АО «НТЦ ИТ РОСА»
Тип ПО:	Операционная система Прикладное ПО информационных систем Сетевое средство Сетевое программное средство Программное средство защиты Средство АСУ ТП ПО программно-аппаратного средства АСУ ТП
Наименование ПО:	Astra Linux Special Edition Jboss Web Server Debian GNU/Linux JBoss Core Services Astra Linux Special Edition для «Эльбрус» РЕД ОС ОС ТД АИС ФССП России Red Hat Advanced Cluster Management for Kubernetes Альт 8 СП Red Hat Enterprise Linux OpenSSL GT SoftGOT2000 ОСОН ОСнова Оnyx ROSA Virtualization ROSA Virtualization 3.0
Версия ПО:	1.6 «Смоленск» (Astra Linux Special Edition) 5.0 (Jboss Web Server) 10 (Debian GNU/Linux) - (JBoss Core Services) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 11 (Debian GNU/Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) 2 (Red Hat Advanced Cluster Management for Kubernetes) - (Альт 8 СП) 9 (Red Hat Enterprise Linux) от 3.0 до 3.0.3 (OpenSSL) от 1.1.1 до 1.1.1o (OpenSSL) от 1.0.2 до 1.0.2ze (OpenSSL) до 1.280S (GT SoftGOT2000) 4.7 (Astra Linux Special Edition) до 2.5 (ОСОН ОСнова Оnyx) 2.1 (ROSA Virtualization) 3.0 (ROSA Virtualization 3.0)
ОС и аппаратные платформы:	Astra Linux Special Edition (1.6 «Смоленск») Debian GNU/Linux (10) Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград») Debian GNU/Linux (11) РЕД ОС (7.3) Astra Linux Special Edition (1.7) ОС ТД АИС ФССП России (ИК6) Альт 8 СП (-) Red Hat Enterprise Linux (9) Astra Linux Special Edition (4.7) ОСОН ОСнова Оnyx (до 2.5) ROSA Virtualization (2.1) ROSA Virtualization 3.0 (3.0)
Ссылки на источники:	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e5fd1728ef4c7a5bf7c7a7163ca60370460a6e23 https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html https://www.debian.org/security/2022/dsa-5139 https://www.openssl.org/news/secadv/20220503.txt https://nvd.nist.gov/vuln/detail/CVE-2022-1292 https://redos.red-soft.ru/support/secure/ https://access.redhat.com/security/cve/CVE-2022-1292 https://goslinux.fssp.gov.ru/2726972/ https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://altsp.su/obnovleniya-bezopasnosti/ https://altsp.su/obnovleniya-bezopasnosti/ https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 https://abf.rosa.ru/advisories/ROSA-SA-2025-2715

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2022-03181