ГлавнаяБаза уязвимостей БДУ → BDU:2022-03238
6.4высокая

BDU:2022-03238 (CVE-2022-1785)

Уязвимость реализации функции vim_regsub_both() текстового редактора Vim, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2022-06-01
Описание

Уязвимость реализации функции vim_regsub_both() текстового редактора Vim связана с записью данных за границами буфера. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызвать отказ в обслуживании с помощью специально созданного файла

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Red Hat Enterprise Linux (9)vim (до 8.2.4977)OpenShift Container Platform (4.11)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)ROSA Virtualization (2.1)
Способ устранения

Использование рекомендаций:
Для Vim:
https://github.com/vim/vim/commit/e2bd8600b873d2cd1f9d667c28cba8b1dba18839

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-1785

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-1785
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения vim до версии 2:9.0.0626-1

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2215

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл6.4 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://goslinux.fssp.gov.ru/2726972/https://security-tracker.debian.org/tracker/CVE-2022-1785https://www.cybersecurity-help.cz/vdb/SB2022052017https://nvd.nist.gov/vuln/detail/CVE-2022-1785https://github.com/vim/vim/commit/e2bd8600b873d2cd1f9d667c28cba8b1dba18839https://huntr.dev/bounties/8c969cba-eef2-4943-b44a-4e3089599109https://access.redhat.com/security/cve/CVE-2022-1785
Проверьте безопасность своего сайта и почты → Полная проверка домена