ГлавнаяБаза уязвимостей БДУ → BDU:2022-03040
5средняя

BDU:2022-03040 (CVE-2022-27776)

Уязвимость утилиты командной строки cURL, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2022-05-20
Описание

Уязвимость утилиты командной строки cURL связана с утечкой данных аутентификации или заголовков файла cookie во время перенаправления HTTP на тот же хост, но с другим номером порта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, ошибочно отправить тот же набор заголовков на хосты, которые идентичны первому, но используют другой номер порта или схему URL

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat Software CollectionsJBoss Core ServicesFedora (34)Fedora (35)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПFedora (36)cURL (от 4.9 до 7.83.0)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)ОСОН ОСнова Оnyx (до 2.6)ROSA Virtualization (2.1)Kaspersky Endpoint Security 10 для Linux (10.1.2.329)Kaspersky Security для Microsoft Exchange Server (9.7.364.0)
Способ устранения

Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2022-27776.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-27776

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142
https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574
https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.83.1-1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения mediawiki до версии 1:1.35.7-1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2220

Для KESL-Эльбрус:

Обновление программного обеспечения до актуальной версии

Для Kaspersky Security для Microsoft Exchange Server:
При настройке пользовательского адреса источника обновлений необходимо указывать сетевую или локальную папку. При использовании в качестве источника обновлений публичных серверов "Лаборатории Касперского" уязвимости неприменимы.

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2022-27776https://redos.red-soft.ru/support/secure/https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083https://bugzilla.redhat.com/show_bug.cgi?id=2079174https://curl.se/docs/CVE-2022-27776.htmlhttps://bugzilla.redhat.com/show_bug.cgi?id=2078408
Проверьте безопасность своего сайта и почты → Полная проверка домена