Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05325

Опубликовано: 05 авг. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость компонента inflate.c библиотеки zlib связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
ФССП России
АО «ИВК»
Fedora Project
Жан-Лу Гайи, Марк Адлер
Project Harbor
АО "НППКТ"
ООО «Открытая мобильная платформа»
АО «НТЦ ИТ РОСА»

Наименование ПО

Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
ОС ТД АИС ФССП России
Альт 8 СП
Fedora
zlib
harbor
ОСОН ОСнова Оnyx
ОС Аврора
РОСА Кобальт
ROSA Virtualization
РОСА ХРОМ
АЛЬТ СП 10
ROSA Virtualization 3.0

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
36 (Fedora)
до 1.2.12 включительно (zlib)
до 1.10.13 (harbor)
4.7 (Astra Linux Special Edition)
до 2.6 (ОСОН ОСнова Оnyx)
до 4.0.2.209 (ОС Аврора)
до 4.0.2.209 (ОС Аврора)
до 4.0.2.209 (ОС Аврора)
до 4.0.2.209 (ОС Аврора)
7.9 (РОСА Кобальт)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использоние рекомандаций:
Для zlib:
http://www.openwall.com/lists/oss-security/2022/08/09/1
https://github.com/madler/zlib/commit/eff308af425b67093bab25f80f1ae950166bece1
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YRQAI7H4M4RQZ2IWZUEEXECBE5D56BH2/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-37434
Для Harbor:
https://github.com/goharbor/harbor/releases/tag/v1.10.13
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb17321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb18322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb19323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb20402
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/update-security/document32368538/
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2131
Для Альт 8 СП :
https://altsp.su/obnovleniya-bezopasnosti/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения zlib до версии 1:1.2.11.dfsg-4.1
Обновление программного обеспечения libz-mingw-w64 до версии 1.2.12+dfsg-2
Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства
Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2156
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2463
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2763
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2721

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.92678
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20221207-01

CVSS3: 9.8
redos
больше 2 лет назад

Уязвимость zlib

redos логотип

ROS-20240409-12

CVSS3: 9.8
redos
около 1 года назад

Множественные уязвимости apache-kafka

ubuntu логотип

CVE-2022-37434

CVSS3: 9.8
ubuntu
почти 3 года назад

zlib through 1.2.12 has a heap-based buffer over-read or buffer overflow in inflate in inflate.c via a large gzip header extra field. NOTE: only applications that call inflateGetHeader are affected. Some common applications bundle the affected zlib source code but may be unable to call inflateGetHeader (e.g., see the nodejs/node reference).

redhat логотип

CVE-2022-37434

CVSS3: 7
redhat
почти 3 года назад

zlib through 1.2.12 has a heap-based buffer over-read or buffer overflow in inflate in inflate.c via a large gzip header extra field. NOTE: only applications that call inflateGetHeader are affected. Some common applications bundle the affected zlib source code but may be unable to call inflateGetHeader (e.g., see the nodejs/node reference).

nvd логотип

CVE-2022-37434

CVSS3: 9.8
nvd
почти 3 года назад

zlib through 1.2.12 has a heap-based buffer over-read or buffer overflow in inflate in inflate.c via a large gzip header extra field. NOTE: only applications that call inflateGetHeader are affected. Some common applications bundle the affected zlib source code but may be unable to call inflateGetHeader (e.g., see the nodejs/node reference).

EPSS

Процентиль: 100%
0.92678
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2