ГлавнаяБаза уязвимостей БДУ → BDU:2023-00348
10критическая

BDU:2023-00348 (CVE-2022-35256)

Уязвимость анализатора HTTP-кода llhttp программного обеспечения для управления сетевой инфраструктурой SINEC INS (Infrastructure Network Services), позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-01-24
Описание

Уязвимость анализатора HTTP-кода llhttp программного обеспечения для управления сетевой инфраструктурой SINEC INS (Infrastructure Network Services) связана с возможностью обхода механизма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsOpenSUSE Leap (15.3)Debian GNU/Linux (11)OpenSUSE Leap (15.4)Red Hat Enterprise Linux (9)SINEC INS (до 1.0 SP2 Update 1)Node.js (от 14.0.0 до 14.14.0 включительно)Node.js (от 14.15.0 до 14.20.1 включительно)Node.js (от 16.0.0 до 16.12.0 включительно)Node.js (от 16.13.0 до 16.17.1)Node.js (от 18.0.0 до 18.9.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение подключения к программному продукту из сетей общего пользования (Интернет);
- сегментирование сети с целью ограничения доступа к промышленному сегменту из других подсетей;
- применение средств межсетевого экранирования уровня веб-приложений.

Использование рекомендаций производителя:
Для Siemens AG:
https://cert-portal.siemens.com/productcert/pdf/ssa-332410.pdf

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-35256

Для Node:
https://github.com/nodejs/node/commit/2e92e5b71d071cb989d8d109d278427041a47e44
https://github.com/nodejs/node/commit/a9f1146b8827855e342834458a71f2367346ace0

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-35256

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-35256.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/pdf/ssa-332410.pdfhttps://security-tracker.debian.org/tracker/CVE-2022-35256https://github.com/nodejs/node/commit/2e92e5b71d071cb989d8d109d278427041a47e44https://github.com/nodejs/node/commit/a9f1146b8827855e342834458a71f2367346ace0https://access.redhat.com/security/cve/CVE-2022-35256https://www.suse.com/security/cve/CVE-2022-35256.html
Проверьте безопасность своего сайта и почты → Полная проверка домена