ГлавнаяБаза уязвимостей БДУ → BDU:2021-05280
4.3средняя

BDU:2021-05280 (CVE-2021-22924)

Уязвимость функции сопоставления конфигураций программного средства для взаимодействия с серверами CURL, связанная с использованием имени с неправильной ссылкой, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2021-11-02
Описание

Уязвимость функции сопоставления конфигураций программного средства для взаимодействия с серверами CURL связана с сравнением путей без учета регистра. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)cURL (от 7.10.4 до 7.77.0)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для CURL:
использование рекомендаций производителя: https://curl.se/docs/CVE-2021-22924.html

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22924

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.80.0-3

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет curl до 7.52.1-5+deb9u16 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://curl.se/docs/CVE-2021-22924.htmlhttps://github.com/curl/curl/commit/5ea3145850ebff1dc2b13d17440300a01ca38161https://hackerone.com/reports/1223565https://nvd.nist.gov/vuln/detail/CVE-2021-22924https://security-tracker.debian.org/tracker/CVE-2021-22924https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена