ГлавнаяБаза уязвимостей БДУ → BDU:2022-02884
9критическая

BDU:2022-02884 (CVE-2022-29972)

Уязвимость стороннего компонента интеграции данных драйвера Magnitude Simba Amazon Redshift ODBC в облачных службах Azure Data Factory и Azure Synapse, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-05-13
Описание

Уязвимость стороннего компонента интеграции данных драйвера Magnitude Simba Amazon Redshift ODBC в облачных службах Azure Data Factory и Azure Synapse связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Azure Data FactoryAzure SynapseAmazon Redshift ODBC (до 1.4.52)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

1. Использование рекомендаций производителей:

Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/ADV220001
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29972

Для Amazon Redshift ODBC:
https://insightsoftware.com/trust/security/advisories/redshift-and-athena-driver-vulnerability/

2. Компенсирующие меры:
- использование средств антивирусной защиты
- настройка рабочего пространства Synapse через управляемую виртуальную сеть.

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://msrc.microsoft.com/update-guide/vulnerability/ADV220001https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29972https://msrc-blog.microsoft.com/2022/05/09/vulnerability-mitigated-in-the-third-party-data-connector-used-in-azure-synapse-pipelines-and-azure-data-factory-cve-2022-29972https://www.zerodayinitiative.com/blog/2022/5/10/the-may-2022-security-update-reviewhttps://www.magnitude.com/products/data-connectivityhttps://insightsoftware.com/trust/security/advisories/redshift-and-athena-driver-vulnerability/
Проверьте безопасность своего сайта и почты → Полная проверка домена