2.6средняя
BDU:2021-03580 (CVE-2021-22898)
Уязвимость функции sscanf() библиотеки libcurl программного средства для взаимодействия с серверами CURL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-07-13
Описание
Уязвимость функции sscanf() библиотеки libcurl программного средства для взаимодействия с серверами CURL связана с использованием неинициализированного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Point of Sale (11 SP3)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)SUSE Linux Enterprise Server for SAP Applications (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)Suse Linux Enterprise Server (11-SECURITY)SUSE Linux Enterprise Server for SAP Applications (11-SECURITY)Red Hat Software CollectionsAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)OpenSUSE Leap (15.2)Suse Linux Enterprise Server (12 SP4-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP4-LTSS)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)SUSE MicroOS (5.0)OpenSUSE Leap (15.3 SLE Imports)cURL (от 7.7 до 7.76.1 включительно)Guacamole (1.3.0)
Способ устранения
Использование рекомендаций:
https://github.com/curl/curl/commit/39ce47f219b09c380b81f89fe54ac586c8db6bde
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-22898
Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-22898/
Для Apache Guacamole:
https://lists.apache.org/thread.html/rc713534b10f9daeee2e0990239fa407e2118e4aa9e88a7041177497c@%3Cissues.guacamole.apache.org%3E
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.80.0-3
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет curl до 7.52.1-5+deb9u16 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Оценка CVSS
| Балл | 2.6 — средняя опасность |
Источники и патчи