Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02170

Опубликовано: 05 авг. 2021
Источник: fstec
CVSS3: 5.3
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость программного средства для взаимодействия с серверами CURL связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
Fedora Project
ООО «РусБИТех-Астра»
Oracle Corp.
Дэниел Стенберг

Наименование ПО

Debian GNU/Linux
Red Hat Enterprise Linux
JBoss Core Services
Fedora
Astra Linux Special Edition
MySQL Server
cURL

Версия ПО

9 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (JBoss Core Services)
33 (Fedora)
8.2 Extended Update Support (Red Hat Enterprise Linux)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
до 8.0.26 включительно (MySQL Server)
до 5.7.35 включительно (MySQL Server)
от 7.27.0 до 7.78.0 (cURL)
4.7 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 33
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Для CURL:
использование рекомендаций производителя: https://curl.se/docs/CVE-2021-22923.html
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22923
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FRUCW2UVNYUDZF72DQLFQR4PJEC6CF7V/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-22923
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2021.html
Для ОС Astra Linux:
обновить пакет curl до 7.68.0-1ubuntu2.22+astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет curl до 7.68.0-1ubuntu2.22+astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00064
Низкий

5.3 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-22923

CVSS3: 5.3
ubuntu
почти 4 года назад

When curl is instructed to get content using the metalink feature, and a user name and password are used to download the metalink XML file, those same credentials are then subsequently passed on to each of the servers from which curl will download or try to download the contents from. Often contrary to the user's expectations and intentions and without telling the user it happened.

redhat логотип

CVE-2021-22923

CVSS3: 5.7
redhat
почти 4 года назад

When curl is instructed to get content using the metalink feature, and a user name and password are used to download the metalink XML file, those same credentials are then subsequently passed on to each of the servers from which curl will download or try to download the contents from. Often contrary to the user's expectations and intentions and without telling the user it happened.

nvd логотип

CVE-2021-22923

CVSS3: 5.3
nvd
почти 4 года назад

When curl is instructed to get content using the metalink feature, and a user name and password are used to download the metalink XML file, those same credentials are then subsequently passed on to each of the servers from which curl will download or try to download the contents from. Often contrary to the user's expectations and intentions and without telling the user it happened.

debian логотип

CVE-2021-22923

CVSS3: 5.3
debian
почти 4 года назад

When curl is instructed to get content using the metalink feature, and ...

github логотип

GHSA-89qw-6g6w-269q

CVSS3: 5.3
github
около 3 лет назад

When curl is instructed to get content using the metalink feature, and a user name and password are used to download the metalink XML file, those same credentials are then subsequently passed on to each of the servers from which curl will download or try to download the contents from. Often contrary to the user's expectations and intentions and without telling the user it happened.

EPSS

Процентиль: 20%
0.00064
Низкий

5.3 Medium

CVSS3

5.4 Medium

CVSS2