Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05791

Опубликовано: 12 апр. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость модуля mod_dav_svn централизованной системы управления версиями Subversion связана с ошибкой поиска правил авторизации на основе путей. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
Fedora Project
ООО «РусБИТех-Астра»
Apache Software Foundation
АО "НППКТ"
ООО «Юбитех»

Наименование ПО

Red Hat Enterprise Linux
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Debian GNU/Linux
Ubuntu
OpenSUSE Leap
Fedora
Astra Linux Special Edition
Suse Linux Enterprise Desktop
Subversion
ОСОН ОСнова Оnyx
UBLinux

Версия ПО

8 (Red Hat Enterprise Linux)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
15-LTSS (Suse Linux Enterprise Server)
20.04 LTS (Ubuntu)
8.2 Extended Update Support (Red Hat Enterprise Linux)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
35 (Fedora)
21.10 (Ubuntu)
8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.4 Extended Update Support (Red Hat Enterprise Linux)
1.7 (Astra Linux Special Edition)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
36 (Fedora)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
15 SP2-LTSS (Suse Linux Enterprise Server)
от 1.10.0 до 1.10.8 (Subversion)
от 1.14.0 до 1.14.2 (Subversion)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
до 2204 (UBLinux)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Canonical Ltd. Ubuntu 20.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35
Canonical Ltd. Ubuntu 21.10
Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
Fedora Project Fedora 36
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
ООО «Юбитех» UBLinux до 2204

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Subversion:
https://subversion.apache.org/security/CVE-2022-24070-advisory.txt
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-24070
https://www.debian.org/security/2022/dsa-5119
Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Для ОСОН Основа:
Обновление программного обеспечения subversion до версии 1.10.4-1+deb10u3
Для UBLinux:
https://security.ublinux.ru/CVE-2022-24070
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-24070
https://ubuntu.com/security/notices/USN-5372-1
https://ubuntu.com/security/notices/USN-5450-1
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PZ4ARNGLMGYBKYDX2B7DRBNMF6EH3A6R/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YJPMCWCGWBN3QWCDVILWQWPC75RR67LT/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-24070
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-24070.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 56%
0.00334
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-24070

CVSS3: 7.5
ubuntu
больше 3 лет назад

Subversion's mod_dav_svn is vulnerable to memory corruption. While looking up path-based authorization rules, mod_dav_svn servers may attempt to use memory which has already been freed. Affected Subversion mod_dav_svn servers 1.10.0 through 1.14.1 (inclusive). Servers that do not use mod_dav_svn are not affected.

redhat логотип

CVE-2022-24070

CVSS3: 7.5
redhat
почти 4 года назад

Subversion's mod_dav_svn is vulnerable to memory corruption. While looking up path-based authorization rules, mod_dav_svn servers may attempt to use memory which has already been freed. Affected Subversion mod_dav_svn servers 1.10.0 through 1.14.1 (inclusive). Servers that do not use mod_dav_svn are not affected.

nvd логотип

CVE-2022-24070

CVSS3: 7.5
nvd
больше 3 лет назад

Subversion's mod_dav_svn is vulnerable to memory corruption. While looking up path-based authorization rules, mod_dav_svn servers may attempt to use memory which has already been freed. Affected Subversion mod_dav_svn servers 1.10.0 through 1.14.1 (inclusive). Servers that do not use mod_dav_svn are not affected.

msrc логотип

CVE-2022-24070

CVSS3: 7.5
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2022-24070

CVSS3: 7.5
debian
больше 3 лет назад

Subversion's mod_dav_svn is vulnerable to memory corruption. While loo ...

EPSS

Процентиль: 56%
0.00334
Низкий

7.5 High

CVSS3

7.8 High

CVSS2