ГлавнаяБаза уязвимостей БДУ → BDU:2022-07361
10критическая

BDU:2022-07361 (CVE-2022-32207)

Уязвимость программного средства для взаимодействия с серверами CURL, связанная с ошибками при сохранении разрешений, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
Опубликовано: 2022-12-22
Описание

Уязвимость программного средства для взаимодействия с серверами CURL связана с ошибками при сохранении разрешений. Уязвимость позволяет нарушителю, действующему удаленно, раскрыть защищаемую информацию или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)Fedora (35)OpenSUSE Leap (15.4)Альт 8 СПSuse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Basesystem (15 SP4)MacOS (до 13.0)ОС Аврора (до 4.0.2.209)cURL (до 7.84.0)ОСОН ОСнова Оnyx (до 2.7)
Способ устранения

Использование рекомендаций:
Для curl:
https://github.com/curl/curl/commit/b834890a3fa3f525cd8ef4e99554cdb4558d7e1b
https://github.com/curl/curl/commit/20f9dd6bae50b7223171b17ba7798946e74f877f

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-32207

Для программных продуктов Novell Inc.:
https://www.suse.com/es-es/security/cve/CVE-2022-32207.html

Для программных продуктов Apple Inc.:
https://support.apple.com/ru-ru/HT213488

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BEV6BR4MTI3CEWK2YU2HQZUW5FAS3FEY/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения curl до версии 7.87.0-2

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://seclists.org/fulldisclosure/2022/Oct/28http://seclists.org/fulldisclosure/2022/Oct/41https://hackerone.com/reports/1573634https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BEV6BR4MTI3CEWK2YU2HQZUW5FAS3FEY/https://security.gentoo.org/glsa/202212-01https://security.netapp.com/advisory/ntap-20220915-0003/https://support.apple.com/kb/HT213488https://www.debian.org/security/2022/dsa-5197
Проверьте безопасность своего сайта и почты → Полная проверка домена