ГлавнаяБаза уязвимостей БДУ → BDU:2022-03041
5.4средняя

BDU:2022-03041 (CVE-2022-27774)

Уязвимость утилиты командной строки cURL, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2022-05-20
Описание

Уязвимость утилиты командной строки cURL связана с попытками приложения выполнить перенаправления во время процесса аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем выполнения перенаправления на другие URL-адреса

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat Software CollectionsJBoss Core ServicesFedora (34)Fedora (35)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПFedora (36)cURL (от 4.9 до 7.83.0)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)ROSA Virtualization (2.1)Kaspersky Endpoint Security 10 для Linux (10.1.2.329)Kaspersky Security для Microsoft Exchange Server (9.7.364.0)
Способ устранения

Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2022-27774.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-27774

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142
https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574
https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.83.1-1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2220

Для KESL-Эльбрус:

Обновление программного обеспечения до актуальной версии

Для Kaspersky Security для Microsoft Exchange Server:
При настройке пользовательского адреса источника обновлений необходимо указывать сетевую или локальную папку. При использовании в качестве источника обновлений публичных серверов "Лаборатории Касперского" уязвимости неприменимы.

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2022-27774https://redos.red-soft.ru/support/secure/https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083https://curl.se/docs/CVE-2022-27774.htmlhttps://bugzilla.redhat.com/show_bug.cgi?id=2077547https://bugzilla.redhat.com/show_bug.cgi?id=2079169
Проверьте безопасность своего сайта и почты → Полная проверка домена