ГлавнаяБаза уязвимостей БДУ → BDU:2022-03899
7.8высокая

BDU:2022-03899 (CVE-2022-23772)

Уязвимость реализации функции SetString() класса Rat пакета math/big языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-06-29
Описание

Уязвимость реализации функции SetString() класса Rat пакета math/big языка программирования Go связана с исчерпанием ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)openSUSE TumbleweedRed Hat Quay (3)OpenSUSE Leap (15.3)Openshift Service Mesh (2)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Desktop (15 SP3)Red Hat Openshift Data Foundation (4)SUSE Enterprise Storage (7)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)SUSE Linux Enterprise High Performance Computing (15 SP2-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Linux Enterprise Module for Development Tools (15 SP3)SUSE Manager Retail Branch Server (4.1)Red Hat OpenShift Container Platform (4)Red Hat Migration Toolkit for ContainersSuse Linux Enterprise Server (15 SP2-BCL)SUSE Manager Retail Branch Server (4.2)Suse Linux Enterprise Server (15 SP2-LTSS)Go (до 1.16.14)Go (от 1.17.0 до 1.17.7)Openshift Service Mesh (2.1.0)Red Hat OpenStack Platform (16.2)SUSE Linux Enterprise Real Time (15 SP2)
Способ устранения

Использование рекомендаций:
Для GO:
https://github.com/golang/go/issues/50699
https://go.dev/doc/devel/release#go1.17.minor
https://github.com/golang/go/tags

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-23772

Для Debian:
https://lists.debian.org/debian-lts-announce/2022/04/msg00018.html
https://lists.debian.org/debian-lts-announce/2022/04/msg00017.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23772.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova6

Для ОС ОН «Стрелец»:
Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova6.strelets

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://groups.google.com/g/golang-announce/c/SUsQn0aSgPQhttps://lists.debian.org/debian-lts-announce/2022/04/msg00017.htmlhttps://lists.debian.org/debian-lts-announce/2022/04/msg00018.htmlhttps://security.netapp.com/advisory/ntap-20220225-0006/https://nvd.nist.gov/vuln/detail/CVE-2022-23772https://access.redhat.com/security/cve/CVE-2022-23772https://github.com/golang/go/issues/50699https://www.suse.com/security/cve/CVE-2022-23772.html
Проверьте безопасность своего сайта и почты → Полная проверка домена