ГлавнаяБаза уязвимостей БДУ → BDU:2021-03580
2.6средняя

BDU:2021-03580 (CVE-2021-22898)

Уязвимость функции sscanf() библиотеки libcurl программного средства для взаимодействия с серверами CURL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-07-13
Описание

Уязвимость функции sscanf() библиотеки libcurl программного средства для взаимодействия с серверами CURL связана с использованием неинициализированного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Point of Sale (11 SP3)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)SUSE Linux Enterprise Server for SAP Applications (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)Suse Linux Enterprise Server (11-SECURITY)SUSE Linux Enterprise Server for SAP Applications (11-SECURITY)Red Hat Software CollectionsAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)OpenSUSE Leap (15.2)Suse Linux Enterprise Server (12 SP4-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP4-LTSS)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)SUSE MicroOS (5.0)OpenSUSE Leap (15.3 SLE Imports)cURL (от 7.7 до 7.76.1 включительно)Guacamole (1.3.0)
Способ устранения

Использование рекомендаций:
https://github.com/curl/curl/commit/39ce47f219b09c380b81f89fe54ac586c8db6bde

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-22898

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-22898/

Для Apache Guacamole:
https://lists.apache.org/thread.html/rc713534b10f9daeee2e0990239fa407e2118e4aa9e88a7041177497c@%3Cissues.guacamole.apache.org%3E

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.80.0-3

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет curl до 7.52.1-5+deb9u16 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл2.6 — средняя опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2021-22898https://access.redhat.com/security/cve/cve-2021-22898https://www.suse.com/security/cve/CVE-2021-22898/https://lists.apache.org/thread.html/rc713534b10f9daeee2e0990239fa407e2118e4aa9e88a7041177497c@%3Cissues.guacamole.apache.org%3Ehttps://curl.se/docs/CVE-2021-22898.htmlhttps://github.com/curl/curl/commit/39ce47f219b09c380b81f89fe54ac586c8db6bdehttps://hackerone.com/reports/1176461https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена