ГлавнаяБаза уязвимостей БДУ → BDU:2023-05378
10критическая

BDU:2023-05378 (CVE-2022-48174)

Уязвимость файла ash.c набора UNIX-утилит командной строки BusyBox, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-09-11
Описание

Уязвимость файла ash.c набора UNIX-утилит командной строки BusyBox связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданных данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)Suse Linux Enterprise Server (12-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (15)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP1-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Ubuntu (14.04 ESM)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (11 SP3-LTSS)Debian GNU/Linux (10)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Desktop (12 SP1)Suse Linux Enterprise Server (12 SP1)Suse Linux Enterprise Server (11 SP3)
Способ устранения

Использование рекомендаций:

Для BusyBox:
https://bugs.busybox.net/show_bug.cgi?id=15216
https://git.busybox.net/busybox/commit/?id=d417193cf

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-48174

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-48174.html

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-48174
https://ubuntu.com/security/notices/USN-6335-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-48174

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-busybox-cve-2022-48174/?sphrase_id=592530

Для ОС Astra Linux:
обновить пакет busybox до 1:1.30.1-4+ci202408281525+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет busybox до 1:1.30.1-4+ci202408281525+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для ОС Аврора: https://cve.omp.ru/bb27514

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2980

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://bugs.busybox.net/show_bug.cgi?id=15216https://git.busybox.net/busybox/commit/?id=d417193cfhttps://access.redhat.com/security/cve/cve-2022-48174https://www.suse.com/security/cve/CVE-2022-48174.htmlhttps://ubuntu.com/security/CVE-2022-48174https://ubuntu.com/security/notices/USN-6335-1https://security-tracker.debian.org/tracker/CVE-2022-48174https://www.cybersecurity-help.cz/vdb/SB2023090537
Проверьте безопасность своего сайта и почты → Полная проверка домена