ГлавнаяБаза уязвимостей БДУ → BDU:2022-03203
10критическая

BDU:2022-03203 (CVE-2022-29155)

Уязвимость реализации протокола OpenLDAP, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2022-05-30
Описание

Уязвимость реализации протокола OpenLDAP связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации с помощью специально созданного запроса

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15-ESPOS)Suse Linux Enterprise Server (15 SP1-LTSS)Debian GNU/Linux (11)Suse Linux Enterprise Server (12)Suse Linux Enterprise Server (15 SP2 LTSS)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Suse Linux Enterprise Server (15 SP3)Альт 8 СПSuse Linux Enterprise Server (15 SP4)OpenLDAP (от 2.0 до 2.5.12)OpenLDAP (от 2.6.0 до 2.6.2)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)UBLinux (до 2204)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для OpenLDAP:
Обновление программного обеспечения до актуальной версии

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2022/05/msg00032.html
https://www.debian.org/security/2022/dsa-5140

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-29155

Для UBLinux:
https://security.ublinux.ru/CVE-2022-29155

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-openldap-cve-2022-29155/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-29155.html

Для ОСОН Основа:
Обновление программного обеспечения openldap до версии 2.4.47+dfsg-3+deb10u7

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openldap до версии 2.4.44+dfsg-5+deb9u9

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2439

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2686

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-29155https://bugs.openldap.org/show_bug.cgi?id=9815https://lists.debian.org/debian-lts-announce/2022/05/msg00032.htmlhttps://www.debian.org/security/2022/dsa-5140https://security.ublinux.ru/CVE-2022-29155https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-openldap-cve-2022-29155/https://www.suse.com/security/cve/CVE-2022-29155.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Проверьте безопасность своего сайта и почты → Полная проверка домена