ГлавнаяБаза уязвимостей БДУ → BDU:2022-05559
7.8высокая

BDU:2022-05559 (CVE-2021-4091)

Уязвимость реализации функции поиска сервера службы каталогов 389 Directory Server, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-09-07
Описание

Уязвимость реализации функции поиска сервера службы каталогов 389 Directory Server связана с использованием памяти после ее освобождения при обработке атрибутов private pblock и duplicated pblock с одинаковым указателем pb_vattr_context. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки серии специально созданных поисковых запросов

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)OpenSUSE Leap (15.3)SUSE Linux Enterprise Module for Server Applications (15 SP3)Red Hat Enterprise Linux (8.4 Extended Update Support)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)SUSE Linux Enterprise High Performance Computing (15 SP2-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Manager Retail Branch Server (4.1)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Server (15 SP2-BCL)
Способ устранения

Использование рекомендаций:
Для 389 Directory Server:
https://github.com/389ds/389-ds-base/commit/a3c298f8140d3e4fa1bd5a670f1bb965a21a9b7b

Для продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2021-4091

Для Amazon Linux:
https://alas.aws.amazon.com/cve/html/CVE-2021-4091.html

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-4091.html

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2734

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2021-4091https://nvd.nist.gov/vuln/detail/CVE-2021-4091https://github.com/389ds/389-ds-base/commit/a3c298f8140d3e4fa1bd5a670f1bb965a21a9b7bhttps://alas.aws.amazon.com/cve/html/CVE-2021-4091.htmlhttps://www.suse.com/security/cve/CVE-2021-4091.htmlhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47https://abf.rosa.ru/advisories/ROSA-SA-2025-2734
Проверьте безопасность своего сайта и почты → Полная проверка домена