ГлавнаяБаза уязвимостей БДУ → BDU:2022-06395
7.6высокая

BDU:2022-06395 (CVE-2022-3515)

Уязвимость библиотеки предоставляющей функции для работы с сертификатами X.509 LibKSBA, связанная с целочисленным переполнением в синтаксическом анализаторе CRL, позволяющая нарушителю выполнить произвольный код в целевой системе
Опубликовано: 2022-10-21
Описание

Уязвимость библиотеки предоставляющей функции для работы с сертификатами X.509 LibKSBA связана с целочисленным переполнением в синтаксическом анализаторе CRL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданные данные, вызвать целочисленное переполнение и выполнить произвольный код в целевой системе

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Virtualization (4)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПRed Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)LibKSBA (от 0.9.13 до 1.6.1)ОСОН ОСнова Оnyx (до 2.6)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)ROSA Virtualization 3.0 (3.0)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:
Для LibKSBA:
https://dev.gnupg.org/T6230
https://gnupg.org/blog/20221017-pepe-left-the-ksba.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-libksba-cve-2022-3515/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3515

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-3515



Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения libksba до версии 1.3.5-2+deb10u1



Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:

использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для операционной системы РОСА ХРОМ:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2170

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2193

Для Astra Linux 1.6 «Смоленск»:
обновить пакет libksba до 1.3.5-2+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Astra Linux Special Edition 1.7:
обновить пакет libksba до 1.3.5-2+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2706

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://dev.gnupg.org/T6230https://gnupg.org/blog/20221017-pepe-left-the-ksba.htmlhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-libksba-cve-2022-3515/https://security-tracker.debian.org/tracker/CVE-2022-3515https://access.redhat.com/security/cve/cve-2022-3515https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Проверьте безопасность своего сайта и почты → Полная проверка домена