Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2026-08411

CVSS: 10
28.10.2022

Уязвимость платформы для облачного управления виртуальными машинами OpenNebula, связанная с непринятием мер по очистке входных данных, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость платформы для облачного управления виртуальными машинами OpenNebula связана с непринятием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 28.10.2022
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Данные уточняются
Способ эксплуатации: Инъекция
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для OpenNebula:
https://opennebula.io/blog/announcements/opennebula-6-4-2-ee-lts-maintenance-release-is-available/

Для ПК СВ «Брест»:
Обновление программного обеспечения, применение оперативного обновления ПК СВ «Брест» 4.0.1, предоставляемого в личном кабинете пользователя https://lk.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-77 The product constructs all or part of a command using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the intended command when it is sent to a downstream component.

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2022-37425 The FILES directive inside a VM template allows execution of uploaded files when the template is instantiated, resulting in a...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
10 CRITICAL 2.0 AV:N/AC:L/Au:N/C:C/I:C/A:C

Идентификаторы других систем описаний уязвимостей

CVE-2022-37425
Вендор:
  • ООО «РусБИТех-Астра»
  • OpenNebula Systems
Тип ПО:
  • Средство защиты
  • ПО виртуализации/ПО виртуального программно-аппаратного средства
  • Программное средство защиты
Наименование ПО:
  • ПК СВ "Брест"
  • OpenNebula
Версия ПО:
  • до 4.0.1 (ПК СВ "Брест")
  • до 6.4.2 (OpenNebula)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.