Описание
Уязвимости функций on_stream_io() dns_stream_complete() компонента resolved-dns-stream.c подсистемы инициализации и управления службами Systemd операционных систем Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании
Вендор
The CentOS Project
Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «Открытая мобильная платформа»
Наименование ПО
CentOS
Red Hat Enterprise Linux
SUSE Linux Enterprise Server for SAP Applications
Red Hat Virtualization
Suse Linux Enterprise Server
Debian GNU/Linux
SUSE Enterprise Storage
SUSE OpenStack Cloud
SUSE Linux Enterprise High Performance Computing
SUSE CaaS Platform
РЕД ОС
SUSE Manager Server
SUSE Manager Proxy
SUSE Manager Retail Branch Server
SUSE Business Critical Linux
ОС Аврора
Версия ПО
7 (CentOS)
7 (Red Hat Enterprise Linux)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
4 (Red Hat Virtualization)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
6 (SUSE Enterprise Storage)
9 (SUSE OpenStack Cloud)
12 SP5 (SUSE Linux Enterprise High Performance Computing)
15-LTSS (SUSE Linux Enterprise High Performance Computing)
15-LTSS (Suse Linux Enterprise Server)
Crowbar 9 (SUSE OpenStack Cloud)
12 SP4-ESPOS (Suse Linux Enterprise Server)
4.0 (SUSE CaaS Platform)
12 SP4-LTSS (Suse Linux Enterprise Server)
15-ESPOS (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP1 (Suse Linux Enterprise Server)
11 (Debian GNU/Linux)
15 SP2 LTSS (Suse Linux Enterprise Server)
7.3 (РЕД ОС)
15 SP3 (SUSE Linux Enterprise High Performance Computing)
7 (SUSE Enterprise Storage)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
4.1 (SUSE Manager Server)
4.1 (SUSE Manager Proxy)
15 SP2-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)
4.1 (SUSE Manager Retail Branch Server)
15 SP1 (SUSE Business Critical Linux)
15 SP2 (SUSE Business Critical Linux)
до 4.0.2.209 (ОС Аврора)
до 4.0.2.209 (ОС Аврора)
до 4.0.2.209 (ОС Аврора)
до 4.0.2.209 (ОС Аврора)
Тип ПО
Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Прикладное ПО информационных систем
Сетевое средство
Операционные системы и аппаратные платформы
The CentOS Project CentOS 7
Red Hat Inc. Red Hat Enterprise Linux 7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15-ESPOS
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа к командной строке для недоверенных пользователей;
- применение замкнутой программной среды;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- запрет создания файлов вне домашней директории пользователя;
- использование систем управления доступом (таких, как SELinux, AppArmor и проч.).
Использование рекомендаций производителя:
Для Systemd:
https://github.com/systemd/systemd/commit/d973d94dec349fb676fdd844f6fe2ada3538f27c
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-2526
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-2526.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-2526
Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb17321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb18322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb19323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb20402
Для CentOS 7:
https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6160-important-centos-7-systemd-18-04-07
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CESA
9.6 Critical
CVSS3
8.3 High
CVSS2
9.6 Critical
CVSS3
8.3 High
CVSS2