Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-03561

Опубликовано: 25 июн. 2021
Источник: fstec
CVSS3: 6.7
CVSS2: 5.6
EPSS Низкий

Описание

Уязвимость функции wordexp() библиотеки, обеспечивающей системные вызовы и основные функции glibc вызвана целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю читать произвольные файлы

Вендор

ООО «РусБИТех-Астра»
Red Hat Inc.
The GNU Project
ООО «Ред Софт»
АО «ИВК»
ООО «Открытая мобильная платформа»
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
Red Hat Enterprise Linux
glibc
РЕД ОС
Альт 8 СП
ОС Аврора
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
до 2.34 (glibc)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
до 4.0.2 (ОС Аврора)
до 4.0.2 (ОС Аврора)
до 4.0.2 (ОС Аврора)
до 4.0.2 (ОС Аврора)
4.7 (Astra Linux Special Edition)
до 2.5.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://sourceware.org/git/?p=glibc.git;a=commitdiff;h=5adda61f62b77384718b4c0d8336ade8f2b4b35c
Для продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2021-35942
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии
Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb10321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb11322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb12323
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОСОН Основа:
Обновление программного обеспечения glibc до версии 2.28-10+deb10u1osnova0
Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 78%
0.01204
Низкий

6.7 Medium

CVSS3

5.6 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20220112-02

redos
больше 3 лет назад

Уязвимость glibc

ubuntu логотип

CVE-2021-35942

CVSS3: 9.1
ubuntu
почти 4 года назад

The wordexp function in the GNU C Library (aka glibc) through 2.33 may crash or read arbitrary memory in parse_param (in posix/wordexp.c) when called with an untrusted, crafted pattern, potentially resulting in a denial of service or disclosure of information. This occurs because atoi was used but strtoul should have been used to ensure correct calculations.

redhat логотип

CVE-2021-35942

CVSS3: 9.1
redhat
почти 4 года назад

The wordexp function in the GNU C Library (aka glibc) through 2.33 may crash or read arbitrary memory in parse_param (in posix/wordexp.c) when called with an untrusted, crafted pattern, potentially resulting in a denial of service or disclosure of information. This occurs because atoi was used but strtoul should have been used to ensure correct calculations.

nvd логотип

CVE-2021-35942

CVSS3: 9.1
nvd
почти 4 года назад

The wordexp function in the GNU C Library (aka glibc) through 2.33 may crash or read arbitrary memory in parse_param (in posix/wordexp.c) when called with an untrusted, crafted pattern, potentially resulting in a denial of service or disclosure of information. This occurs because atoi was used but strtoul should have been used to ensure correct calculations.

msrc логотип

CVE-2021-35942

CVSS3: 9.1
msrc
почти 4 года назад

Описание отсутствует

EPSS

Процентиль: 78%
0.01204
Низкий

6.7 Medium

CVSS3

5.6 Medium

CVSS2