ГлавнаяБаза уязвимостей БДУ → BDU:2022-04072
9.4критическая

BDU:2022-04072 (CVE-2022-1996)

Уязвимость программного средства создания веб-служб go-restful, связанная с обходом авторизации посредством ключа, контролируемого пользователем, позволяющая наруштителю повысить свои привилегии
Опубликовано: 2022-07-04
Описание

Уязвимость программного средства создания веб-служб go-restful связана с обходом авторизации посредством ключа, контролируемого пользователем. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Затрагиваемое ПО и версии
Red Hat Virtualization (4)OpenShift Container Platform (3.11)OpenShift Container Platform (4)Openshift Service Mesh (2)Fedora (35)Ansible Automation Platform (1.2)Ansible Automation Platform (2.0)Red Hat Openshift Data Foundation (4)Fedora (36)Red Hat Openshift Container Storage (4)Openshift Service Mesh (2.1.0)go-restful (до 3.8.0)
Способ устранения

Использование рекомендаций:
Для emicklei/go-restful:
https://github.com/emicklei/go-restful/commit/fd3c327a379ce08c68ef18765bdc925f5d9bad10

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/575BLJ3Y2EQBRNTFR2OSQQ6L2W6UCST3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OBDD3Q23RCGAGHIXUCWBU6N3S4RNAKXB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZY2SLWOQR4ZURQ7UBRZ7JIX6H6F5JHJR/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-1996

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://github.com/emicklei/go-restful/commit/fd3c327a379ce08c68ef18765bdc925f5d9bad10https://huntr.dev/bounties/be837427-415c-4d8c-808b-62ce20aa84f1https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/575BLJ3Y2EQBRNTFR2OSQQ6L2W6UCST3/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OBDD3Q23RCGAGHIXUCWBU6N3S4RNAKXB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZY2SLWOQR4ZURQ7UBRZ7JIX6H6F5JHJR/https://access.redhat.com/security/cve/CVE-2022-1996
Проверьте безопасность своего сайта и почты → Полная проверка домена