ГлавнаяБаза уязвимостей БДУ → BDU:2022-06445
10критическая

BDU:2022-06445 (CVE-2022-37454)

Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP), позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-10-24
Описание

Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP) связана с ошибками при блочной обработке входных данных и приведении типов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в процессе вычисления хэша с помощью специально сформированных данных

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsUbuntu (20.04 LTS)Debian GNU/Linux (11)Fedora (35)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПFedora (36)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)eXtended Keccak Code PackageUbuntu (22.10)PHP (от 8.0.0 до 8.0.25)PHP (от 8.1.0 до 8.1.12)ОСОН ОСнова Оnyx (до 2.7)Python (от 3.6.0 до 3.7.16)Python (от 3.8.0 до 3.8.16)Python (от 3.9.0 до 3.9.16)Python (от 3.10.0 до 3.10.9)PHP (от 7.2.0 до 7.4.33)РОСА ХРОМ (12.4)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
замена встроенной хеш-библиотеки проверенными реализациями из HACL;
- ограничение максимального размера данных, участвующих в одной итерации вычисления хэша.

Использование рекомендаций:
https://github.com/XKCP/XKCP/security/advisories/GHSA-6w4m-2xhg-2658
https://github.com/XKCP/XKCP/commit/fdc6fef075f4e81d6b1bc38364248975e08e340a

Установка обновления для модуля XKCP:
https://github.com/XKCP/XKCP/commit/fdc6fef075f4e81d6b1bc38364248975e08e340a

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-37454

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-37454

Для программных продуктов Python Software Foundation:
https://github.com/python/cpython/issues/98517
https://github.com/python/cpython/commit/0e4e058602d93b88256ff90bbef501ba20be9dd3
https://github.com/python/cpython/commit/857efee6d2d43c5c12fc7e377ce437144c728ab8
https://github.com/python/cpython/commit/948c6794711458fd148a3fa62296cadeeb2ed631
https://github.com/python/cpython/commit/8088c90044ba04cd5624b278340ebf934dbee4a5
https://github.com/python/cpython/commit/6fe2a75b645044ca2b5dac03e8d850567b547a9a

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5717-1
https://ubuntu.com/security/notices/USN-5767-1
https://ubuntu.com/security/notices/USN-5888-1
https://ubuntu.com/security/notices/USN-5767-3
https://ubuntu.com/security/notices/USN-5930-1
https://ubuntu.com/security/notices/USN-5931-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3ALQ6BDDPX5HU5YBQOBMDVAA2TSGDKIJ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CMIEXLMTW5GO36HTFFWIPB3OHZXCT3G4/

Для PHP Group:
https://bugs.php.net/bug.php?id=81738
https://github.com/php/php-src/commit/91663a92d1697fc30a7ba4687d73e0f63ec2baa1
https://github.com/php/php-src/commit/248f647724e385bfb8d83aa5b5a5ca3c4ee2c7fd

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u2.osnova10
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u4.osnova10

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2676

Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://csrc.nist.gov/projects/hash-functions/sha-3-projecthttps://github.com/XKCP/XKCP/security/advisories/GHSA-6w4m-2xhg-2658https://mouha.be/sha-3-buffer-overflow/https://news.ycombinator.com/item?id=33281106https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://security-tracker.debian.org/tracker/CVE-2022-37454
Проверьте безопасность своего сайта и почты → Полная проверка домена