ГлавнаяБаза уязвимостей БДУ → BDU:2021-05649
8.5высокая

BDU:2021-05649 (CVE-2021-22946)

Уязвимость реализации команды «--ssl-reqd» программного средства для взаимодействия с серверами cURL, позволяющая нарушителю проводить атаки типа "человек посередине"
Опубликовано: 2021-11-25
Описание

Уязвимость реализации команды «--ssl-reqd» программного средства для взаимодействия с серверами cURL связана с передачей данных в открытом виде. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить атаки типа «человек посередине»

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)РЕД ОС (7.2 Муром)Red Hat Software CollectionsAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (33)cURL (от 7.20.0 до 7.79.0).NET Core (3.1 on Red Hat Enterprise Linux)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОС Аврора (до 4.0.2.172)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Curl:
https://curl.se/docs/CVE-2021-22946.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-22946

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/09/msg00022.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RWLEC6YVEM2HWUBX67SDGPSY4CQB72OE/

Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211126SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb13321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb14322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет curl до 7.52.1-5+deb9u16 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2021-22946https://curl.se/docs/CVE-2021-22946.htmlhttps://github.com/curl/curl/commit/364f174724ef115https://hackerone.com/reports/1334111https://lists.debian.org/debian-lts-announce/2021/09/msg00022.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RWLEC6YVEM2HWUBX67SDGPSY4CQB72OE/https://nvd.nist.gov/vuln/detail/CVE-2021-22946https://redos.red-soft.ru/updatesec/
Проверьте безопасность своего сайта и почты → Полная проверка домена