Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03185

Опубликовано: 01 мая 2022
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость реализации протоколов TLS и SSH утилиты командной строки cURL связана с недостатками процедуры аутентификации при использовании ранее созданного соединения в пуле соединений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
ФССП России
АО «ИВК»
Fedora Project
Дэниел Стенберг
АО "НППКТ"
АО «НТЦ ИТ РОСА»
ООО «Открытая мобильная платформа»

Наименование ПО

Red Hat Enterprise Linux
Red Hat Software Collections
JBoss Core Services
РЕД ОС
Astra Linux Special Edition
ОС ТД АИС ФССП России
Альт 8 СП
Fedora
cURL
ОСОН ОСнова Оnyx
ROSA Virtualization
ОС Аврора

Версия ПО

8 (Red Hat Enterprise Linux)
- (Red Hat Software Collections)
- (JBoss Core Services)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
36 (Fedora)
9 (Red Hat Enterprise Linux)
от 7.16.1 до 7.83.1 (cURL)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
до 4.0.2.249 включительно (ОС Аврора)
до 4.0.2.249 включительно (ОС Аврора)
до 4.0.2.249 включительно (ОС Аврора)
до 4.0.2.249 включительно (ОС Аврора)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.249 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2022-27782.html
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-27782
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-d15a736748
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для ОС Аврора:
https://cve.omp.ru/bb23402
Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/
Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.83.1-1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2220

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 53%
0.00307
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20220524-03

redos
около 3 лет назад

Множественные уязвимости cURL

ubuntu логотип

CVE-2022-27782

CVSS3: 7.5
ubuntu
около 3 лет назад

libcurl would reuse a previously created connection even when a TLS or SSHrelated option had been changed that should have prohibited reuse.libcurl keeps previously used connections in a connection pool for subsequenttransfers to reuse if one of them matches the setup. However, several TLS andSSH settings were left out from the configuration match checks, making themmatch too easily.

redhat логотип

CVE-2022-27782

CVSS3: 7.5
redhat
около 3 лет назад

libcurl would reuse a previously created connection even when a TLS or SSHrelated option had been changed that should have prohibited reuse.libcurl keeps previously used connections in a connection pool for subsequenttransfers to reuse if one of them matches the setup. However, several TLS andSSH settings were left out from the configuration match checks, making themmatch too easily.

nvd логотип

CVE-2022-27782

CVSS3: 7.5
nvd
около 3 лет назад

libcurl would reuse a previously created connection even when a TLS or SSHrelated option had been changed that should have prohibited reuse.libcurl keeps previously used connections in a connection pool for subsequenttransfers to reuse if one of them matches the setup. However, several TLS andSSH settings were left out from the configuration match checks, making themmatch too easily.

msrc логотип

CVE-2022-27782

CVSS3: 7.5
msrc
около 3 лет назад

Описание отсутствует

EPSS

Процентиль: 53%
0.00307
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2