ГлавнаяБаза уязвимостей БДУ → BDU:2022-02304
6.8высокая

BDU:2022-02304 (CVE-2022-0354)

Уязвимость программного средства для обновления программного обеспечения Lenovo System Update, связанная с возможностью интерактивного доступа к системе во время процесса установки обновления, который отображает окно командной строки, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями
Опубликовано: 2022-04-14
Описание

Уязвимость программного средства для обновления программного обеспечения Lenovo System Update связана с возможностью интерактивного доступа к системе во время процесса установки обновления, который отображает окно командной строки. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями

Затрагиваемое ПО и версии
Lenovo System Update (до 2022-02-25)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- применение системы разграничения доступа с целью запрета запуска приложения для обновления непривилегированными пользователями;
- использование безопасных процедур для обновления системы;
- удаление программного средства Lenovo System Update.

Использование рекомендаций производителя:
https://support.lenovo.com/us/en/product_security/LEN-76673

Пакеты обновлений системы, выпущенные после 25.02.2022, не затрагиваются

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://www.infosec.tirol/cve-2022-0354https://support.lenovo.com/ph/en/product_security/ps500001-lenovo-product-security-advisorieshttps://vulmon.com/vulnerabilitydetails?qid=CVE-2022-0354&scoretype=cvssv3https://support.lenovo.com/us/en/product_security/LEN-76673https://www.infosec.tirol/cve-2022-0354/
Проверьте безопасность своего сайта и почты → Полная проверка домена