ГлавнаяБаза уязвимостей БДУ → BDU:2022-03181
7.6высокая

BDU:2022-03181 (CVE-2022-1292)

Уязвимость реализации сценария c_rehash библиотеки OpenSSL, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2022-05-30
Описание

Уязвимость реализации сценария c_rehash библиотеки OpenSSL связана с непринятием мер по нейтрализации метасимволов оболочки при обработке сертификатов в /etc/ssl/certs/. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Jboss Web Server (5.0)Debian GNU/Linux (10)JBoss Core ServicesAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Red Hat Advanced Cluster Management for Kubernetes (2)Альт 8 СПRed Hat Enterprise Linux (9)OpenSSL (от 3.0 до 3.0.3)OpenSSL (от 1.1.1 до 1.1.1o)OpenSSL (от 1.0.2 до 1.0.2ze)GT SoftGOT2000 (до 1.280S)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)ROSA Virtualization (2.1)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e5fd1728ef4c7a5bf7c7a7163ca60370460a6e23
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian:
https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html
https://www.debian.org/security/2022/dsa-5139

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-1292

Для продуктов Mitsubishi Electric Corporation:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения openssl до версии 1.1.1n-0+deb10u2

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет openssl до 1.1.1n-0+deb10u3-astra4+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2715

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e5fd1728ef4c7a5bf7c7a7163ca60370460a6e23https://lists.debian.org/debian-lts-announce/2022/05/msg00019.htmlhttps://www.debian.org/security/2022/dsa-5139https://www.openssl.org/news/secadv/20220503.txthttps://nvd.nist.gov/vuln/detail/CVE-2022-1292https://redos.red-soft.ru/support/secure/https://access.redhat.com/security/cve/CVE-2022-1292
Проверьте безопасность своего сайта и почты → Полная проверка домена