Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01443

Опубликовано: 02 мар. 2022
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость реализации механизма аутентификации Cyrus SASL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-запрос

Вендор

ООО «РусБИТех-Астра»
ООО «Ред Софт»
ФССП России
АО «ИВК»
Project Cyrus
IBM Corp.
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Astra Linux Special Edition для «Эльбрус»
РЕД ОС
ОС ТД АИС ФССП России
Альт 8 СП
Cyrus SASL
IBM QRadar SIEM
IBM Robotic Process Automation for Cloud Pak
ОСОН ОСнова Оnyx
АЛЬТ СП 10
ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
до 2.1.28 (Cyrus SASL)
от 7.3 до 7.3.3 Fix Pack 12 (IBM QRadar SIEM)
от 7.4 до 7.4.3 Fix Pack 6 (IBM QRadar SIEM)
от 7.5 до 7.5.0 Update Pack 2 (IBM QRadar SIEM)
до 21.0.2.3 (IBM Robotic Process Automation for Cloud Pak)
4.7 (Astra Linux Special Edition)
до 2.8 (ОСОН ОСнова Оnyx)
- (АЛЬТ СП 10)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8
АО «ИВК» АЛЬТ СП 10 -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Cyrus:
Обновление программного обеспечения до актуальной версии
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6614725
https://www.ibm.com/support/pages/node/6614449
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения cyrus-sasl2 до версии 2.1.27+dfsg.repack-2.1+deb11u1.osnova1
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет cyrus-sasl2 до 2.1.27~101-g0780600+dfsg-3+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения cyrus-sasl2 до версии 2.1.27~101-g0780600+dfsg-3+deb9u2
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет cyrus-sasl2 до 2.1.27~101-g0780600+dfsg-3+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 66%
0.0053
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20220309-01

redos
больше 3 лет назад

Уязвимость реализации механизма аутентификации cyrus-sasl

ubuntu логотип

CVE-2022-24407

CVSS3: 8.8
ubuntu
больше 3 лет назад

In Cyrus SASL 2.1.17 through 2.1.27 before 2.1.28, plugins/sql.c does not escape the password for a SQL INSERT or UPDATE statement.

redhat логотип

CVE-2022-24407

CVSS3: 8.8
redhat
больше 3 лет назад

In Cyrus SASL 2.1.17 through 2.1.27 before 2.1.28, plugins/sql.c does not escape the password for a SQL INSERT or UPDATE statement.

nvd логотип

CVE-2022-24407

CVSS3: 8.8
nvd
больше 3 лет назад

In Cyrus SASL 2.1.17 through 2.1.27 before 2.1.28, plugins/sql.c does not escape the password for a SQL INSERT or UPDATE statement.

msrc логотип

CVE-2022-24407

CVSS3: 8.8
msrc
больше 3 лет назад

Описание отсутствует

EPSS

Процентиль: 66%
0.0053
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2