ГлавнаяБаза уязвимостей БДУ → BDU:2022-07496
10критическая

BDU:2022-07496 (CVE-2022-36227)

Уязвимость функции calloc() библиотеки архивирования libarchive, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2022-12-28
Описание

Уязвимость функции calloc() библиотеки архивирования libarchive связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP3)OpenSUSE Leap (15.3)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Desktop (15 SP3)SUSE Linux Enterprise Module for Development Tools (15 SP3)Альт 8 СПSuse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.2)Red Hat Enterprise Linux (9)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Basesystem (15 SP4)SUSE Linux Enterprise Module for Development Tools (15 SP4)
Способ устранения

Использование рекомендаций:
Для libarchive:
https://github.com/libarchive/libarchive/commit/fd180c36036df7181a64931264732a10ad8cd024
https://github.com/libarchive/libarchive/issues/1754
https://github.com/libarchive/libarchive/pull/1759
https://github.com/libarchive/libarchive/blob/v3.0.0a/libarchive/archive_write.c#L215

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V67OO2UUQAUJS3IK4JZPF6F3LUCBU6IS/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-36227.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-36227

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения libarchive до версии 3.6.2-1osnova10

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2205

Для Astra Linux 1.6 «Смоленск»:
обновить пакет libarchive до 3.6.2-0astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2704

Для ОС Аврора: https://cve.omp.ru/bb27514

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2023:2532?lang=ru

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-libarchive-cve-2022-36227/?sphrase_id=101813https://nvd.nist.gov/vuln/detail/CVE-2022-36227https://bugs.gentoo.org/882521https://github.com/libarchive/libarchive/blob/v3.0.0a/libarchive/archive_write.c#L215https://github.com/libarchive/libarchive/issues/1754https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V67OO2UUQAUJS3IK4JZPF6F3LUCBU6IS/https://www.suse.com/security/cve/CVE-2022-36227.htmlhttps://access.redhat.com/security/cve/cve-2022-36227
Проверьте безопасность своего сайта и почты → Полная проверка домена