ГлавнаяБаза уязвимостей БДУ → BDU:2022-01443
9.4критическая

BDU:2022-01443 (CVE-2022-24407)

Уязвимость реализации механизма аутентификации Cyrus SASL, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю выполнить произвольный SQL-запрос
Опубликовано: 2022-03-25
Описание

Уязвимость реализации механизма аутентификации Cyrus SASL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-запрос

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Альт 8 СПCyrus SASL (до 2.1.28)IBM QRadar SIEM (от 7.3 до 7.3.3 Fix Pack 12)IBM QRadar SIEM (от 7.4 до 7.4.3 Fix Pack 6)IBM QRadar SIEM (от 7.5 до 7.5.0 Update Pack 2)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.8)АЛЬТ СП 10ОС ОН «Стрелец» (до 16.01.2023)IBM Robotic Process Automation (до 21.0.2.3)
Способ устранения

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Cyrus:
Обновление программного обеспечения до актуальной версии

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6614725
https://www.ibm.com/support/pages/node/6614449

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения cyrus-sasl2 до версии 2.1.27+dfsg.repack-2.1+deb11u1.osnova1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет cyrus-sasl2 до 2.1.27~101-g0780600+dfsg-3+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения cyrus-sasl2 до версии 2.1.27~101-g0780600+dfsg-3+deb9u2

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет cyrus-sasl2 до 2.1.27~101-g0780600+dfsg-3+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://nvd.nist.gov/vuln/detail/CVE-2022-24407https://www.openwall.com/lists/oss-security/2022/02/23/4https://goslinux.fssp.gov.ru/2726972/https://www.ibm.com/support/pages/node/6614725https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Проверьте безопасность своего сайта и почты → Полная проверка домена