Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03036

Опубликовано: 18 мар. 2022
Источник: fstec
CVSS3: 3.7
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость реализации протокола OAUTH2 утилиты командной строки cURL связана с повторным использованием соединения с теми же учетными данными. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации и получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
Fedora Project
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Дэниел Стенберг
АО "НППКТ"
АО «НТЦ ИТ РОСА»
ООО «Открытая мобильная платформа»

Наименование ПО

Red Hat Enterprise Linux
Red Hat Software Collections
JBoss Core Services
Fedora
РЕД ОС
Astra Linux Special Edition
Альт 8 СП
cURL
ОСОН ОСнова Оnyx
ROSA Virtualization
ОС Аврора

Версия ПО

8 (Red Hat Enterprise Linux)
- (Red Hat Software Collections)
- (JBoss Core Services)
34 (Fedora)
35 (Fedora)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
36 (Fedora)
от 7.33 до 7.83.0 (cURL)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
до 4.0.2.249 включительно (ОС Аврора)
до 4.0.2.249 включительно (ОС Аврора)
до 4.0.2.249 включительно (ОС Аврора)
до 4.0.2.249 включительно (ОС Аврора)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Fedora Project Fedora 34
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2022-22576.html
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-22576
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-fc5776b142
https://bodhi.fedoraproject.org/updates/FEDORA-2022-411f088574
https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083
Для ОС Аврора:
https://cve.omp.ru/bb23402
Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/
Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.83.1-1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2220

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 53%
0.00296
Низкий

3.7 Low

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20220516-09

redos
около 3 лет назад

Множественные уязвимости cURL

ubuntu логотип

CVE-2022-22576

CVSS3: 8.1
ubuntu
около 3 лет назад

An improper authentication vulnerability exists in curl 7.33.0 to and including 7.82.0 which might allow reuse OAUTH2-authenticated connections without properly making sure that the connection was authenticated with the same credentials as set for this transfer. This affects SASL-enabled protocols: SMPTP(S), IMAP(S), POP3(S) and LDAP(S) (openldap only).

redhat логотип

CVE-2022-22576

CVSS3: 8.1
redhat
около 3 лет назад

An improper authentication vulnerability exists in curl 7.33.0 to and including 7.82.0 which might allow reuse OAUTH2-authenticated connections without properly making sure that the connection was authenticated with the same credentials as set for this transfer. This affects SASL-enabled protocols: SMPTP(S), IMAP(S), POP3(S) and LDAP(S) (openldap only).

nvd логотип

CVE-2022-22576

CVSS3: 8.1
nvd
около 3 лет назад

An improper authentication vulnerability exists in curl 7.33.0 to and including 7.82.0 which might allow reuse OAUTH2-authenticated connections without properly making sure that the connection was authenticated with the same credentials as set for this transfer. This affects SASL-enabled protocols: SMPTP(S), IMAP(S), POP3(S) and LDAP(S) (openldap only).

msrc логотип

CVE-2022-22576

CVSS3: 8.1
msrc
около 3 лет назад

Описание отсутствует

EPSS

Процентиль: 53%
0.00296
Низкий

3.7 Low

CVSS3

4.9 Medium

CVSS2