ГлавнаяБаза уязвимостей БДУ → BDU:2022-07403
10критическая

BDU:2022-07403 (CVE-2022-32221)

Уязвимость утилиты командной строки cURL, связанная с логической ошибкой повторно используемого дескриптора при обработке последующих HTTP-запросов PUT и POST, позволяющая нарушителю вызвать отказ в обслуживании или оказать иное воздействие на систему
Опубликовано: 2022-12-24
Описание

Уязвимость утилиты командной строки cURL связана с логической ошибкой повторно используемого дескриптора при обработке последующих HTTP-запросов PUT и POST. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или оказать иное воздействие на систему, используя обратный вызов чтения (CURLOPT_READFUNCTION)

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Ubuntu (14.04 ESM)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)SUSE Enterprise Storage (6)JBoss Core ServicesSUSE OpenStack Cloud (9)SUSE OpenStack Cloud Crowbar (9)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)openSUSE TumbleweedUbuntu (20.04 LTS)JBoss Core Services (1)Suse Linux Enterprise Server (12 SP4-ESPOS)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)SUSE Linux Enterprise Module for Basesystem (15 SP3)Ubuntu (16.04 ESM)OpenSUSE Leap (15.3)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)
Способ устранения

Использование рекомендаций:
Для cURL:
https://github.com/curl/curl/issues/9507
https://github.com/curl/curl/commit/a64e3e59938abd7d667e4470a18072a24d7e9de9

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-32221

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-32221.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-32221

Для ОС Аврора:
https://cve.omprussia.ru/bb21
https://cve.omprussia.ru/bb22402

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5702-1
https://ubuntu.com/security/notices/USN-5702-2

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения curl до версии 7.87.0-2

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2411

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2748

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2679

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://curl.se/docs/CVE-2022-32221.htmlhttps://github.com/curl/curl/issues/9507https://github.com/curl/curl/commit/a64e3e59938abd7d667e4470a18072a24d7e9de9https://security-tracker.debian.org/tracker/CVE-2022-32221https://www.suse.com/security/cve/CVE-2022-32221.htmlhttps://access.redhat.com/security/cve/CVE-2022-32221https://ubuntu.com/security/notices/USN-5702-1https://ubuntu.com/security/notices/USN-5702-2
Проверьте безопасность своего сайта и почты → Полная проверка домена