ГлавнаяБаза уязвимостей БДУ → BDU:2022-00980
7.2высокая

BDU:2022-00980

Уязвимость функции win_linetabsize() текстового редактора vim, позволяющая нарушителю оказать воздействие на конфиденциальность целостность доступность информации
Опубликовано: 2022-02-28
Описание

Уязвимость функции win_linetabsize() текстового редактора vim связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность целостность доступность информации

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8.0)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (34)Debian GNU/Linux (11)vim (до 8.2.3949)IBM QRadar SIEM (от 7.3 до 7.3.3 Fix Pack 12)IBM QRadar SIEM (от 7.4 до 7.4.3 Fix Pack 6)IBM QRadar SIEM (от 7.5 до 7.5.0 Update Pack 2)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)IBM Robotic Process Automation (до 21.0.2.2)
Способ устранения

Использование рекомендаций:
https://github.com/vim/vim/commit/4c13e5e6763c6eb36a343a2b8235ea227202e952
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2021-4192.xml
Для Fedora:
https://lists.fedoraproject.org/archives/search?mlist=package-announce%40lists.fedoraproject.org&q=CVE-2021-4192
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-4192

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6614453
https://www.ibm.com/support/pages/node/6614725

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2214

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения vim до версии 2:8.0.0197-4+deb9u7

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://huntr.dev/bounties/6dd9cb2e-a940-4093-856e-59b502429f22https://github.com/vim/vim/commit/4c13e5e6763c6eb36a343a2b8235ea227202e952http://www.openwall.com/lists/oss-security/2022/01/15/1https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3FH2J57GDA2WMBS6J56F6QQRA6BXQQFZ/https://www.ibm.com/support/pages/node/6614453https://www.ibm.com/support/pages/node/6614725https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена