ГлавнаяБаза уязвимостей БДУ → BDU:2022-05475
7.8высокая

BDU:2022-05475 (CVE-2022-21698)

Уязвимость библиотеки client_golang приложения для мониторинга и оповещения о событиях Prometheus, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-09-02
Описание

Уязвимость библиотеки client_golang приложения для мониторинга и оповещения о событиях Prometheus связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP3-LTSS)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE OpenStack Cloud Crowbar (8)SUSE Enterprise Storage (6)Suse Linux Enterprise Server (12 SP3-ESPOS)SUSE OpenStack Cloud (9)SUSE OpenStack Cloud Crowbar (9)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)openSUSE TumbleweedSuse Linux Enterprise Server (12 SP4-ESPOS)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)Suse Linux Enterprise Server (15 SP 3)Fedora (34)SUSE Linux Enterprise Module for Basesystem (15 SP3)SUSE Linux Enterprise Module for Desktop Applications (15 SP3)OpenSUSE Leap (15.3)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Использование рекомендаций:
Для client_golang:
https://github.com/prometheus/client_golang/releases/tag/v1.11.1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2IK53GWZ475OQ6ENABKMJMTOBZG6LXUR/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2PFW6Q2LXXWTFRTMTRN4ZGADFRQPKJ3D/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36GUEPA5TPSC57DZTPYPBL6T7UPQ2FRH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4KDETHL5XCT6RZN2BBNOCEXRZ2W3SFU3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7V7I72LSQ3IET3QJR6QPAVGJZ4CBDLN5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AK7CJBCGERCRXYUR2EWDSSDVAQMTAZGX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DLUJZV3HBP56ADXU6QH2V7RNYUPMVBXQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FY3N7H6VSDZM37B4SKM2PFFCUWU7QYWN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HLAQRRGNSO5MYCPAXGPH2OCSHOGHSQMQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J5WPM42UR6XIBQNQPNQHM32X7S4LJTRX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KBMVIQFKQDSSTHVVJWJ4QH6TW3JVB7XZ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MH6ALXEQXIFQRQFNJ5Y2MJ5DFPIX76VN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SASRKYHT5ZFSVMJUQUG3UAEQRJYGJKAR/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZKORFJTRRDJCWBTJPISKKCVMMMJBIRLG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZY2SLWOQR4ZURQ7UBRZ7JIX6H6F5JHJR/

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6614451
https://www.ibm.com/support/pages/node/6596915

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-21698

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-21698

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-21698.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/prometheus/client_golang/pull/962https://github.com/prometheus/client_golang/pull/987https://github.com/prometheus/client_golang/releases/tag/v1.11.1https://github.com/prometheus/client_golang/security/advisories/GHSA-cg3q-j54f-5p7phttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2IK53GWZ475OQ6ENABKMJMTOBZG6LXUR/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2PFW6Q2LXXWTFRTMTRN4ZGADFRQPKJ3D/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36GUEPA5TPSC57DZTPYPBL6T7UPQ2FRH/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4KDETHL5XCT6RZN2BBNOCEXRZ2W3SFU3/
Проверьте безопасность своего сайта и почты → Полная проверка домена