ГлавнаяБаза уязвимостей БДУ → BDU:2023-00296
6.6высокая

BDU:2023-00296 (CVE-2022-29458)

Уязвимость функции convert_strings компонента tinfo/read_entry.c библиотеки управления вводом-выводом на терминал Ncurses, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Опубликовано: 2023-01-23
Описание

Уязвимость функции convert_strings компонента tinfo/read_entry.c библиотеки управления вводом-выводом на терминал Ncurses связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (8)Debian GNU/Linux (10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)ncurses (до 6.3)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)АЛЬТ СП 10ОС Аврора (до 5.1.4 включительно)МСВСфера (9.5)
Способ устранения

Для Ncurses:
использование рекомендаций производителя: https://lists.gnu.org/archive/html/bug-ncurses/2022-04/msg00016.html

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-29458

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ncurses до версии 6.1+20181013-2+deb10u3

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-ncurses-cve-2022-29458/

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2264

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2437

Для ОС Аврора: https://cve.omp.ru/bb27514

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:12876?lang=ru

Оценка CVSS
Балл6.6 — высокая опасность
Источники и патчи
https://invisible-island.net/ncurses/NEWS.html#t20220416https://lists.gnu.org/archive/html/bug-ncurses/2022-04/msg00014.htmlhttps://lists.gnu.org/archive/html/bug-ncurses/2022-04/msg00016.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2022-29458https://security-tracker.debian.org/tracker/CVE-2022-29458https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Проверьте безопасность своего сайта и почты → Полная проверка домена