Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-03580

Опубликовано: 27 апр. 2021
Источник: fstec
CVSS3: 3.1
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость функции sscanf() библиотеки libcurl программного средства для взаимодействия с серверами CURL связана с использованием неинициализированного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

ООО «РусБИТех-Астра»
Novell Inc.
Red Hat Inc.
Дэниел Стенберг
Apache Software Foundation
АО «ИВК»
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
Red Hat Enterprise Linux
SUSE Linux Enterprise Point of Sale
Suse Linux Enterprise Server
SUSE Linux Enterprise Software Development Kit
Red Hat Software Collections
Astra Linux Special Edition для «Эльбрус»
SUSE Linux Enterprise High Performance Computing
OpenSUSE Leap
SUSE MicroOS
cURL
Apache Guacamole
Альт 8 СП
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
8 (Red Hat Enterprise Linux)
11 SP3 (SUSE Linux Enterprise Point of Sale)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4-LTSS (Suse Linux Enterprise Server)
11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
11-SECURITY (Suse Linux Enterprise Server)
11-SECURITY (SUSE Linux Enterprise Server for SAP Applications)
- (Red Hat Software Collections)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
15-ESPOS (SUSE Linux Enterprise High Performance Computing)
15-LTSS (SUSE Linux Enterprise High Performance Computing)
15-LTSS (Suse Linux Enterprise Server)
15.2 (OpenSUSE Leap)
12 SP4-ESPOS (Suse Linux Enterprise Server)
12 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing)
5.0 (SUSE MicroOS)
15.3 SLE Imports (OpenSUSE Leap)
от 7.7 до 7.76.1 включительно (cURL)
1.3.0 (Apache Guacamole)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
до 2.4.3 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Novell Inc. Suse Linux Enterprise Server 11-SECURITY
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11-SECURITY
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. OpenSUSE Leap 15.2
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Novell Inc. SUSE MicroOS 5.0
Novell Inc. OpenSUSE Leap 15.3 SLE Imports
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/curl/curl/commit/39ce47f219b09c380b81f89fe54ac586c8db6bde
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-22898
Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-22898/
Для Apache Guacamole:
https://lists.apache.org/thread.html/rc713534b10f9daeee2e0990239fa407e2118e4aa9e88a7041177497c@%3Cissues.guacamole.apache.org%3E
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.80.0-3
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет curl до 7.52.1-5+deb9u16 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00113
Низкий

3.1 Low

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-22898

CVSS3: 3.1
ubuntu
около 4 лет назад

curl 7.7 through 7.76.1 suffers from an information disclosure when the `-t` command line option, known as `CURLOPT_TELNETOPTIONS` in libcurl, is used to send variable=content pairs to TELNET servers. Due to a flaw in the option parser for sending NEW_ENV variables, libcurl could be made to pass on uninitialized data from a stack based buffer to the server, resulting in potentially revealing sensitive internal information to the server using a clear-text network protocol.

redhat логотип

CVE-2021-22898

CVSS3: 3.1
redhat
около 4 лет назад

curl 7.7 through 7.76.1 suffers from an information disclosure when the `-t` command line option, known as `CURLOPT_TELNETOPTIONS` in libcurl, is used to send variable=content pairs to TELNET servers. Due to a flaw in the option parser for sending NEW_ENV variables, libcurl could be made to pass on uninitialized data from a stack based buffer to the server, resulting in potentially revealing sensitive internal information to the server using a clear-text network protocol.

nvd логотип

CVE-2021-22898

CVSS3: 3.1
nvd
около 4 лет назад

curl 7.7 through 7.76.1 suffers from an information disclosure when the `-t` command line option, known as `CURLOPT_TELNETOPTIONS` in libcurl, is used to send variable=content pairs to TELNET servers. Due to a flaw in the option parser for sending NEW_ENV variables, libcurl could be made to pass on uninitialized data from a stack based buffer to the server, resulting in potentially revealing sensitive internal information to the server using a clear-text network protocol.

msrc логотип

CVE-2021-22898

CVSS3: 3.1
msrc
почти 4 года назад

Описание отсутствует

debian логотип

CVE-2021-22898

CVSS3: 3.1
debian
около 4 лет назад

curl 7.7 through 7.76.1 suffers from an information disclosure when th ...

EPSS

Процентиль: 31%
0.00113
Низкий

3.1 Low

CVSS3

2.6 Low

CVSS2