Описание
Уязвимость реализации функции SetString() класса Rat пакета math/big языка программирования Go связана с исчерпанием ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
Сообщество свободного программного обеспечения
Novell Inc.
Red Hat Inc.
The Go Project
АО "НППКТ"
АО «Концерн ВНИИНС»
Наименование ПО
Debian GNU/Linux
openSUSE Tumbleweed
Red Hat Quay
OpenSUSE Leap
Openshift Service Mesh
SUSE Linux Enterprise High Performance Computing
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
SUSE Manager Proxy
SUSE Manager Server
Suse Linux Enterprise Desktop
Red Hat Openshift Data Foundation
SUSE Enterprise Storage
SUSE Linux Enterprise Module for Development Tools
SUSE Manager Retail Branch Server
Red Hat OpenShift Container Platform
Red Hat Migration Toolkit for Containers
Go
Red Hat OpenStack Platform
SUSE Linux Enterprise Real Time
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»
Версия ПО
9 (Debian GNU/Linux)
- (openSUSE Tumbleweed)
3 (Red Hat Quay)
15.3 (OpenSUSE Leap)
2 (Openshift Service Mesh)
15 SP3 (SUSE Linux Enterprise High Performance Computing)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Proxy)
4.2 (SUSE Manager Server)
15 SP3 (Suse Linux Enterprise Desktop)
4 (Red Hat Openshift Data Foundation)
7 (SUSE Enterprise Storage)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
4.1 (SUSE Manager Server)
4.1 (SUSE Manager Proxy)
15 SP2-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP3 (SUSE Linux Enterprise Module for Development Tools)
4.1 (SUSE Manager Retail Branch Server)
4 (Red Hat OpenShift Container Platform)
- (Red Hat Migration Toolkit for Containers)
15 SP2-BCL (Suse Linux Enterprise Server)
4.2 (SUSE Manager Retail Branch Server)
15 SP2-LTSS (Suse Linux Enterprise Server)
до 1.16.14 (Go)
от 1.17.0 до 1.17.7 (Go)
2.1.0 (Openshift Service Mesh)
16.2 (Red Hat OpenStack Platform)
15 SP2 (SUSE Linux Enterprise Real Time)
до 2.6 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое средство
ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 15.3
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
Novell Inc. SUSE Linux Enterprise Real Time 15 SP2
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для GO:
https://github.com/golang/go/issues/50699
https://go.dev/doc/devel/release#go1.17.minor
https://github.com/golang/go/tags
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-23772
Для Debian:
https://lists.debian.org/debian-lts-announce/2022/04/msg00018.html
https://lists.debian.org/debian-lts-announce/2022/04/msg00017.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23772.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova6
Для ОС ОН «Стрелец»:
Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova6.strelets
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 3%
0.00017
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
больше 3 лет назад
Rat.SetString in math/big in Go before 1.16.14 and 1.17.x before 1.17.7 has an overflow that can lead to Uncontrolled Memory Consumption.
CVSS3: 7.5
redhat
больше 3 лет назад
Rat.SetString in math/big in Go before 1.16.14 and 1.17.x before 1.17.7 has an overflow that can lead to Uncontrolled Memory Consumption.
CVSS3: 7.5
nvd
больше 3 лет назад
Rat.SetString in math/big in Go before 1.16.14 and 1.17.x before 1.17.7 has an overflow that can lead to Uncontrolled Memory Consumption.
CVSS3: 7.5
debian
больше 3 лет назад
Rat.SetString in math/big in Go before 1.16.14 and 1.17.x before 1.17. ...
EPSS
Процентиль: 3%
0.00017
Низкий
7.5 High
CVSS3
7.8 High
CVSS2