ГлавнаяБаза уязвимостей БДУ → BDU:2023-03839
7.8высокая

BDU:2023-03839 (CVE-2022-1941)

Уязвимость протокола сериализации данных Protobuf, связанная с неправильной проверкой синтаксической корректности ввода, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-07-20
Описание

Уязвимость протокола сериализации данных Protobuf связана с неправильной проверкой синтаксической корректности ввода. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)Protobuf (до 3.18.3)Protobuf (от 3.19.0 до 3.19.5)Protobuf (от 3.20.0 до 3.20.2)Protobuf (от 3.21.0 до 3.21.6)Protobuf (от 4.0.0 до 4.21.6)ОСОН ОСнова Оnyx (до 2.8)ОС Аврора (до 5.1.4 включительно)МСВСфера (9.5)
Способ устранения

Для Protobuf:
использование рекомендаций производителя: https://github.com/protocolbuffers/protobuf/security/advisories/GHSA-8gq9-2x98-w8hf

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-1941

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения protobuf до версии 3.6.1.3-2+deb10u1

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для ОС Аврора: https://cve.omp.ru/bb27514

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:7138?lang=ru

Для ОС Astra Linux:
обновить пакет protobuf до 3.0.0-9+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2022/09/27/1https://cloud.google.com/support/bulletins#GCP-2022-019https://github.com/protocolbuffers/protobuf/commit/7764c864bd5acdf60230a7b8fd29816170d0d04ehttps://github.com/protocolbuffers/protobuf/commit/806d7e4ce6f1fd0545cae226b94cb0249ea495c7https://github.com/protocolbuffers/protobuf/security/advisories/GHSA-8gq9-2x98-w8hfhttps://nvd.nist.gov/vuln/detail/CVE-2022-1941https://security-tracker.debian.org/tracker/CVE-2022-1941https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена