Уязвимость анализатора HTTP-кода llhttp программного обеспечения для управления сетевой инфраструктурой SINEC INS (Infrastructure Network Services) связана с возможностью обхода механизма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение подключения к программному продукту из сетей общего пользования (Интернет);
- сегментирование сети с целью ограничения доступа к промышленному сегменту из других подсетей;
- применение средств межсетевого экранирования уровня веб-приложений.
Использование рекомендаций производителя:
Для Siemens AG:
https://cert-portal.siemens.com/productcert/pdf/ssa-332410.pdf
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-35256
Для Node:
https://github.com/nodejs/node/commit/2e92e5b71d071cb989d8d109d278427041a47e44
https://github.com/nodejs/node/commit/a9f1146b8827855e342834458a71f2367346ace0
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-35256
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-35256.html
| Балл | 10 — критическая опасность |