Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05773

Опубликовано: 12 апр. 2022
Источник: fstec
CVSS3: 4.3
CVSS2: 3.5
EPSS Низкий

Описание

Уязвимость централизованной системы управления версиями Subversion связана с неправильной авторизацией. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
Fedora Project
ООО «РусБИТех-Астра»
Apache Software Foundation
АО "НППКТ"
ООО «Юбитех»
АО «НТЦ ИТ РОСА»

Наименование ПО

Red Hat Enterprise Linux
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Debian GNU/Linux
Ubuntu
OpenSUSE Leap
Fedora
Astra Linux Special Edition
Suse Linux Enterprise Desktop
Subversion
ОСОН ОСнова Оnyx
UBLinux
РОСА ХРОМ

Версия ПО

8 (Red Hat Enterprise Linux)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
15-LTSS (Suse Linux Enterprise Server)
20.04 LTS (Ubuntu)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
35 (Fedora)
21.10 (Ubuntu)
1.7 (Astra Linux Special Edition)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
36 (Fedora)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
15 SP2-LTSS (Suse Linux Enterprise Server)
от 1.10.0 до 1.14.1 включительно (Subversion)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
до 2204 (UBLinux)
12.4 (РОСА ХРОМ)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35
Canonical Ltd. Ubuntu 21.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
Fedora Project Fedora 36
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
ООО «Юбитех» UBLinux до 2204
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Subversion:
https://subversion.apache.org/security/CVE-2021-28544-advisory.txt
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2021-28544
https://www.debian.org/security/2022/dsa-5119
Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Для ОСОН Основа:
обновление программного обеспечения subversion до версии 1.10.4-1+deb10u3
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Для UBLinux:
https://security.ublinux.ru/CVE-2021-28544
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PZ4ARNGLMGYBKYDX2B7DRBNMF6EH3A6R/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YJPMCWCGWBN3QWCDVILWQWPC75RR67LT/
Для Ubuntu:
https://ubuntu.com/security/CVE-2021-28544
https://ubuntu.com/security/notices/USN-5372-1
https://ubuntu.com/security/notices/USN-5450-1
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-28544
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-28544.html
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2216

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 61%
0.0042
Низкий

4.3 Medium

CVSS3

3.5 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-28544

CVSS3: 4.3
ubuntu
почти 4 года назад

Apache Subversion SVN authz protected copyfrom paths regression Subversion servers reveal 'copyfrom' paths that should be hidden according to configured path-based authorization (authz) rules. When a node has been copied from a protected location, users with access to the copy can see the 'copyfrom' path of the original. This also reveals the fact that the node was copied. Only the 'copyfrom' path is revealed; not its contents. Both httpd and svnserve servers are vulnerable.

redhat логотип

CVE-2021-28544

CVSS3: 4.3
redhat
почти 4 года назад

Apache Subversion SVN authz protected copyfrom paths regression Subversion servers reveal 'copyfrom' paths that should be hidden according to configured path-based authorization (authz) rules. When a node has been copied from a protected location, users with access to the copy can see the 'copyfrom' path of the original. This also reveals the fact that the node was copied. Only the 'copyfrom' path is revealed; not its contents. Both httpd and svnserve servers are vulnerable.

nvd логотип

CVE-2021-28544

CVSS3: 4.3
nvd
почти 4 года назад

Apache Subversion SVN authz protected copyfrom paths regression Subversion servers reveal 'copyfrom' paths that should be hidden according to configured path-based authorization (authz) rules. When a node has been copied from a protected location, users with access to the copy can see the 'copyfrom' path of the original. This also reveals the fact that the node was copied. Only the 'copyfrom' path is revealed; not its contents. Both httpd and svnserve servers are vulnerable.

msrc логотип

CVE-2021-28544

CVSS3: 4.3
msrc
почти 4 года назад

Описание отсутствует

debian логотип

CVE-2021-28544

CVSS3: 4.3
debian
почти 4 года назад

Apache Subversion SVN authz protected copyfrom paths regression Subver ...

EPSS

Процентиль: 61%
0.0042
Низкий

4.3 Medium

CVSS3

3.5 Low

CVSS2