BDU:2022-05921

Опубликовано: 29 окт. 2021

Источник: fstec

CVSS3: 7.8

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость функции spell_iswordp() компонента spell.c текстового редактора Vim связана с отсутствием проверки preword на пустоту. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

Сообщество свободного программного обеспечения

АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition

Debian GNU/Linux

Astra Linux Special Edition для «Эльбрус»

vim

ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

10 (Debian GNU/Linux)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

11 (Debian GNU/Linux)

до 8.2.3582 (vim)

4.7 (Astra Linux Special Edition)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Сообщество свободного программного обеспечения Debian GNU/Linux 10

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Сообщество свободного программного обеспечения Debian GNU/Linux 11

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Для Vim:

использование рекомендаций производителя: https://github.com/vim/vim/commit/15d9890eee53afc61eb0a03b878a19cb5672f732

Для Debian:

использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-3928

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:

обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:

Обновление программного обеспечения vim до версии 2:8.0.0197-4+deb9u7

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-3928
CVE

EPSS

Процентиль: 13%

0.00044

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2021-3928

CVSS3: 7.8

ubuntu

больше 4 лет назад

vim is vulnerable to Use of Uninitialized Variable

CVE-2021-3928

CVSS3: 7.3

redhat

больше 4 лет назад

vim is vulnerable to Use of Uninitialized Variable

CVE-2021-3928

CVSS3: 7.8

nvd

больше 4 лет назад

vim is vulnerable to Use of Uninitialized Variable

CVE-2021-3928

CVSS3: 7.8

msrc

больше 4 лет назад

Use of Uninitialized Variable in vim/vim

CVE-2021-3928

CVSS3: 7.8

debian

больше 4 лет назад

vim is vulnerable to Use of Uninitialized Variable

EPSS

Процентиль: 13%

0.00044

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2