ГлавнаяБаза уязвимостей БДУ → BDU:2022-01884
9высокая

BDU:2022-01884 (CVE-2021-27021)

Уязвимость системы управления базами данных PuppetDB, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2022-04-07
Описание

Уязвимость системы управления базами данных PuppetDB связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)PuppetDB (до 6.17.0)PuppetDB (от 7.0.0 до 7.4.1)Puppet (до 6.23.0)Puppet (от 7.7.0 до 7.8.0)Puppet Enterprise (до 2019.8.7)Puppet Enterprise (от 2021.0.0 до 2021.2.0)РОСА ХРОМ (12.4)
Способ устранения

Для PuppetDB:
использование рекомендаций производителя: https://puppet.com/security/cve/cve-2021-27021

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-27021

Для операционной системы РОСА ХРОМ:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2297
https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2329

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/puppetlabs/puppetdb/commit/72bd137511487643a3a6236ad9e72a5dd4a6fadbhttps://github.com/puppetlabs/puppetdb/commit/c146e624d230f7410fb648d58ae28c0e3cd457a2https://github.com/puppetlabs/puppetdb/commit/f8dc81678cf347739838e42cc1c426d96406c266https://nvd.nist.gov/vuln/detail/CVE-2021-27021https://puppet.com/docs/puppetdb/6/release_notes/release_notes_latest.html#puppetdb-6170https://puppet.com/security/cve/cve-2021-27021https://security-tracker.debian.org/tracker/CVE-2021-27021https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2297
Проверьте безопасность своего сайта и почты → Полная проверка домена