Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-00002

Опубликовано: 02 дек. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10

Описание

Уязвимость набора криптографических библиотек NSS операционной системы Amazon Linux AMI связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Amazon.com Inc.
ООО «РусБИТех-Астра»
АО «ИВК»
АО "НППКТ"
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Red Hat Virtualization
Amazon Linux AMI
Astra Linux Special Edition
Альт 8 СП
ОСОН ОСнова Оnyx
ROSA Virtualization
ОС ОН «Стрелец»

Версия ПО

7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
4 (Red Hat Virtualization)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
7.3 Advanced Update Support (Red Hat Enterprise Linux)
7.4 Advanced Update Support (Red Hat Enterprise Linux)
8.1 Extended Update Support (Red Hat Enterprise Linux)
8.2 Extended Update Support (Red Hat Enterprise Linux)
7.6 Advanced Update Support (Red Hat Enterprise Linux)
7.6 Update Services for SAP Solutions (Red Hat Enterprise Linux)
7.7 Update Services for SAP Solutions (Red Hat Enterprise Linux)
7.7 Advanced Update Support (Red Hat Enterprise Linux)
7.7 Telco Extended Update Support (Red Hat Enterprise Linux)
11 (Debian GNU/Linux)
2017.03 (Amazon Linux AMI)
8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.4 Extended Update Support (Red Hat Enterprise Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
до 2.4.3 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Red Hat Inc. Red Hat Enterprise Linux 7.3 Advanced Update Support
Red Hat Inc. Red Hat Enterprise Linux 7.4 Advanced Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 7.6 Advanced Update Support
Red Hat Inc. Red Hat Enterprise Linux 7.6 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 7.7 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 7.7 Advanced Update Support
Red Hat Inc. Red Hat Enterprise Linux 7.7 Telco Extended Update Support
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Amazon.com Inc. Amazon Linux AMI 2017.03
Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для Amazon Linux AMI:
Обновите затронутые пакеты:
i686:
nss-sysinit-3.53.1-7.87.amzn1.i686
nss-devel-3.53.1-7.87.amzn1.i686
nss-pkcs11-devel-3.53.1-7.87.amzn1.i686
nss-tools-3.53.1-7.87.amzn1.i686
nss-debuginfo-3.53.1-7.87.amzn1.i686
nss-3.53.1-7.87.amzn1.i686
src:
nss-3.53.1-7.87.amzn1.src
x86_64:
nss-pkcs11-devel-3.53.1-7.87.amzn1.x86_64
nss-debuginfo-3.53.1-7.87.amzn1.x86_64
nss-tools-3.53.1-7.87.amzn1.x86_64
nss-devel-3.53.1-7.87.amzn1.x86_64
nss-sysinit-3.53.1-7.87.amzn1.x86_64
nss-3.53.1-7.87.amzn1.x86_64
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-43527
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-43527
Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН Основа:
Обновление программного обеспечения nss до версии 2:3.61+repack-1+deb11u2.osnova1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2223
Для ОС ОН «Стрелец»:
Обновление программного обеспечения nss до версии 2:3.26.2-1.1+deb9u5

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

9.8 Critical

CVSS3

10 Critical

CVSS2

9.8 Critical

CVSS3

10 Critical

CVSS2