Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01068

Опубликовано: 17 фев. 2022
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость командной оболочки zsh связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

Fedora Project
ООО «Ред Софт»
ФССП России
Peter Stephenson
АО "НППКТ"

Наименование ПО

Fedora
РЕД ОС
ОС ТД АИС ФССП России
Zsh
ОСОН ОСнова Оnyx

Версия ПО

34 (Fedora)
35 (Fedora)
7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
до 5.8.1 (Zsh)
до 2.5.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Fedora Project Fedora 34
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для zsh:
Обновление программного обеспечения до актуальной версии
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BWF3EXNBX5SVFDBL4ZFOD4GJBWFUKWN4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2P3LPMGENEHKDWFO4MWMZSZL6G7Y4CV7/
Для ОС ТД АИС ФССП России:
http://repo.red-soft.ru/goslinux/7/ic6/os/x86_105
Для ОСОН Основа:
Обновление программного обеспечения zsh до версии 5.9-1osnova2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 32%
0.00122
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20220225-03

redos
больше 3 лет назад

Уязвимость командной оболочки zsh

ubuntu логотип

CVE-2021-45444

CVSS3: 7.8
ubuntu
больше 3 лет назад

In zsh before 5.8.1, an attacker can achieve code execution if they control a command output inside the prompt, as demonstrated by a %F argument. This occurs because of recursive PROMPT_SUBST expansion.

redhat логотип

CVE-2021-45444

CVSS3: 7.8
redhat
больше 3 лет назад

In zsh before 5.8.1, an attacker can achieve code execution if they control a command output inside the prompt, as demonstrated by a %F argument. This occurs because of recursive PROMPT_SUBST expansion.

nvd логотип

CVE-2021-45444

CVSS3: 7.8
nvd
больше 3 лет назад

In zsh before 5.8.1, an attacker can achieve code execution if they control a command output inside the prompt, as demonstrated by a %F argument. This occurs because of recursive PROMPT_SUBST expansion.

msrc логотип

CVE-2021-45444

CVSS3: 7.8
msrc
больше 3 лет назад

Описание отсутствует

EPSS

Процентиль: 32%
0.00122
Низкий

8.8 High

CVSS3

10 Critical

CVSS2