Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2024-10793

CVSS: 9.1

11.02.2022

Уязвимость компонента Curve.IsOnCurve языка программирования Golang, позволяющая нарушителю оказывать влияние на доступность и целостность ресурса

Уязвимость компонента Curve.IsOnCurve языка программирования Golang связана с некорректной проверкой возвращаемого значения метода или функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать влияние на доступность и целостность ресурса

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	11.02.2022
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Исчерпание ресурсов
Способ устранения:	Нет данных
Меры по устранению:	В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Использование рекомендаций: Для Golang: https://groups.google.com/g/golang-announce/c/SUsQn0aSgPQ Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-23806 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-23806 Для Ubuntu: https://ubuntu.com/security/CVE-2022-23806 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-23806.html

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-252	CWE-252 Unchecked Return Value

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2022-23806	Curve.IsOnCurve in crypto/elliptic in Go before 1.16.14 and 1.17.x before 1.17.7 can incorrectly return true in situations wi...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
9.4	HIGH	2.0	AV:N/AC:L/Au:N/C:N/I:C/A:C
9.1	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2022-23806

Вендор:	Сообщество свободного программного обеспечения Novell Inc. Red Hat Inc. ООО «Ред Софт» The Go Project
Тип ПО:	Операционная система Прикладное ПО информационных систем Сетевое средство Сетевое программное средство ПО программно-аппаратного средства ПО виртуализации/ПО виртуального программно-аппаратного средства
Наименование ПО:	Debian GNU/Linux SUSE Linux Enterprise High Performance Computing Red Hat Enterprise Linux SUSE Enterprise Storage Red Hat Ceph Storage Red Hat Storage OpenShift Container Platform Red Hat Quay РЕД ОС Red Hat Advanced Cluster Management for Kubernetes Go Red Hat OpenStack Platform Service Telemetry Framework OpenShift Developer Tools and Services Red Hat OpenShift Virtualization OpenShift Serverless Red Hat Ansible Automation Platform Red Hat Openshift Data Foundation Red Hat Developer Tools Migration Toolkit for Containers OpenShift API for Data Protection Openshift Service Mesh Logging subsystem for Red Hat OpenShift
Версия ПО:	9 (Debian GNU/Linux) 12 (SUSE Linux Enterprise High Performance Computing) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 6 (SUSE Enterprise Storage) 3 (Red Hat Ceph Storage) 3 (Red Hat Storage) 4 (OpenShift Container Platform) 3 (Red Hat Quay) 11 (Debian GNU/Linux) 7.3 (РЕД ОС) 15 SP3 (SUSE Linux Enterprise High Performance Computing) 7 (SUSE Enterprise Storage) 15 SP2-ESPOS (SUSE Linux Enterprise High Performance Computing) 15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing) 2 (Red Hat Advanced Cluster Management for Kubernetes) 4.10 (OpenShift Container Platform) до 1.16.14 (Go) от 1.17.0 до 1.17.7 (Go) 16.2 (Red Hat OpenStack Platform) 7.1 (SUSE Enterprise Storage) 15 SP1 (SUSE Linux Enterprise High Performance Computing) 1.3 for RHEL 8 (Service Telemetry Framework) 1.4 for RHEL 8 (Service Telemetry Framework) 4.11 (OpenShift Container Platform) - (OpenShift Developer Tools and Services) 16.1 (Red Hat OpenStack Platform) 4 (Red Hat OpenShift Virtualization) - (OpenShift Serverless) 2 (Red Hat Ansible Automation Platform) 4.11 on RHEL8 (Red Hat Openshift Data Foundation) - (Red Hat Developer Tools) 1.2 (Red Hat Ansible Automation Platform) - (Migration Toolkit for Containers) - (OpenShift API for Data Protection) 2.1 (Openshift Service Mesh) - (Logging subsystem for Red Hat OpenShift) 1 on RHEL 8 (OpenShift Serverless) 2.0 (Openshift Service Mesh) 1.22 (OpenShift Serverless) 2.3 for RHEL 8 (Red Hat Advanced Cluster Management for Kubernetes)
ОС и аппаратные платформы:	Debian GNU/Linux (9) Red Hat Enterprise Linux (8) Debian GNU/Linux (10) Debian GNU/Linux (11) РЕД ОС (7.3)
Ссылки на источники:	https://groups.google.com/g/golang-announce/c/SUsQn0aSgPQ https://redos.red-soft.ru/support/secure/ https://www.suse.com/security/cve/CVE-2022-23806.html https://ubuntu.com/security/CVE-2022-23806 https://security-tracker.debian.org/tracker/CVE-2022-23806 https://access.redhat.com/security/cve/cve-2022-23806

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-10793