7.8высокая
BDU:2022-03899 (CVE-2022-23772)
Уязвимость реализации функции SetString() класса Rat пакета math/big языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-06-29
Описание
Уязвимость реализации функции SetString() класса Rat пакета math/big языка программирования Go связана с исчерпанием ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Debian GNU/Linux (9)openSUSE TumbleweedRed Hat Quay (3)OpenSUSE Leap (15.3)Openshift Service Mesh (2)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Desktop (15 SP3)Red Hat Openshift Data Foundation (4)SUSE Enterprise Storage (7)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)SUSE Linux Enterprise High Performance Computing (15 SP2-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Linux Enterprise Module for Development Tools (15 SP3)SUSE Manager Retail Branch Server (4.1)Red Hat OpenShift Container Platform (4)Red Hat Migration Toolkit for ContainersSuse Linux Enterprise Server (15 SP2-BCL)SUSE Manager Retail Branch Server (4.2)Suse Linux Enterprise Server (15 SP2-LTSS)Go (до 1.16.14)Go (от 1.17.0 до 1.17.7)Openshift Service Mesh (2.1.0)Red Hat OpenStack Platform (16.2)SUSE Linux Enterprise Real Time (15 SP2)
Способ устранения
Использование рекомендаций:
Для GO:
https://github.com/golang/go/issues/50699
https://go.dev/doc/devel/release#go1.17.minor
https://github.com/golang/go/tags
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-23772
Для Debian:
https://lists.debian.org/debian-lts-announce/2022/04/msg00018.html
https://lists.debian.org/debian-lts-announce/2022/04/msg00017.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23772.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova6
Для ОС ОН «Стрелец»:
Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova6.strelets
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи