ГлавнаяБаза уязвимостей БДУ → BDU:2022-04691
7.2высокая

BDU:2022-04691 (CVE-2022-2522)

Уязвимость реализации функции ins_compl_infercase_gettext() текстового редактора Vim, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2022-08-01
Описание

Уязвимость реализации функции ins_compl_infercase_gettext() текстового редактора Vim связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)OpenSUSE Leap (15.3)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Desktop (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Альт 8 СПSuse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)Suse Linux Enterprise Server (15 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP2-LTSS)vim (до 9.0.0060)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)
Способ устранения

Использование рекомендаций:

Для Vim:
https://github.com/vim/vim/commit/5fa9f23a63651a8abdb074b4fc2ec9b1adc6b089

Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-2522

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-2522.html

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-vim-cve-2022-2343-cve-2022-2522-cve-2022-3037-cve-2022-1725/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-2522
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения vim до версии 2:9.0.0626-1

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/vim/vim/commit/5fa9f23a63651a8abdb074b4fc2ec9b1adc6b089https://huntr.dev/bounties/3a2d83af-9542-4d93-8784-98b115135a22https://nvd.nist.gov/vuln/detail/CVE-2022-2522https://altsp.su/obnovleniya-bezopasnosti/https://security-tracker.debian.org/tracker/CVE-2022-2522https://www.suse.com/security/cve/CVE-2022-2522.htmlhttps://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-vim-cve-2022-2343-cve-2022-2522-cve-2022-3037-cve-2022-1725/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена