Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01774

Опубликовано: 07 мая 2021
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента nmakehlp.c языка программирования Tcl связана с недостаточной обработкой форматной строки. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании с помощью специально созданного файла

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Tcl Core Team
АО "НППКТ"
АО «НТЦ ИТ РОСА»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Tcl
ОСОН ОСнова Оnyx
РОСА ХРОМ

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
до 8.6.11 включительно (Tcl)
4.7 (Astra Linux Special Edition)
до 2.6 (ОСОН ОСнова Оnyx)
12.4 (РОСА ХРОМ)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для Tcl:
использование рекомендаций производителя: https://github.com/tcltk/tcl/commit/4705dbdde2f32ff90420765cd93e7ac71d81a222
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-35331
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tcl8.6 до версии 8.6.9+dfsg-repack1-2osnova5u1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2541

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 52%
0.0029
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-35331

CVSS3: 7.8
ubuntu
больше 4 лет назад

In Tcl 8.6.11, a format string vulnerability in nmakehlp.c might allow code execution via a crafted file. NOTE: multiple third parties dispute the significance of this finding

nvd логотип

CVE-2021-35331

CVSS3: 7.8
nvd
больше 4 лет назад

In Tcl 8.6.11, a format string vulnerability in nmakehlp.c might allow code execution via a crafted file. NOTE: multiple third parties dispute the significance of this finding

debian логотип

CVE-2021-35331

CVSS3: 7.8
debian
больше 4 лет назад

In Tcl 8.6.11, a format string vulnerability in nmakehlp.c might allow ...

suse-cvrf логотип

SUSE-FU-2022:0868-1

suse-cvrf
почти 4 года назад

Feature update for tcl and tk

suse-cvrf логотип

SUSE-FU-2022:0484-1

suse-cvrf
почти 4 года назад

Feature update for tcl and tk

EPSS

Процентиль: 52%
0.0029
Низкий

8.8 High

CVSS3

10 Critical

CVSS2