Описание
Уязвимость функции find_pattern_in_path текстового редактора Vim связана с использованием памяти после её освобождения. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор
ООО «РусБИТех-Астра»
Novell Inc.
Сообщество свободного программного обеспечения
Fedora Project
Canonical Ltd.
АО «ИВК»
АО "НППКТ"
АО «Концерн ВНИИНС»
Наименование ПО
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
Suse Linux Enterprise Server
Fedora
Ubuntu
OpenSUSE Leap
Альт 8 СП
Suse Linux Enterprise Desktop
vim
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
15-LTSS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
34 (Fedora)
16.04 ESM (Ubuntu)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
35 (Fedora)
1.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
36 (Fedora)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 SP2-LTSS (Suse Linux Enterprise Server)
до 8.2.5024 (vim)
4.7 (Astra Linux Special Edition)
до 2.6 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Fedora Project Fedora 34
Canonical Ltd. Ubuntu 16.04 ESM
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Vim:
https://github.com/vim/vim/commit/e2fa213cf571041dbd04ab0329303ffdc980678a
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-1898
Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD
Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-1898
https://ubuntu.com/security/notices/USN-5498-1
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OZSLFIKFYU5Y2KM5EJKQNYHWRUBDQ4GJ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QMFHBC5OQXDPV2SDYA2JUQGVCPYASTJB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TYNK6SDCMOLQJOI3B4AOE66P2G2IH4ZM/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-1898.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения vim до версии 2:9.0.0626-1
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения vim до версии 2:8.0.0197-4+deb9u7
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 36%
0.00152
Низкий
8.8 High
CVSS3
9.3 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.8
ubuntu
больше 3 лет назад
Use After Free in GitHub repository vim/vim prior to 8.2.
CVSS3: 7.8
redhat
больше 3 лет назад
Use After Free in GitHub repository vim/vim prior to 8.2.
CVSS3: 7.8
nvd
больше 3 лет назад
Use After Free in GitHub repository vim/vim prior to 8.2.
CVSS3: 7.8
debian
больше 3 лет назад
Use After Free in GitHub repository vim/vim prior to 8.2.
EPSS
Процентиль: 36%
0.00152
Низкий
8.8 High
CVSS3
9.3 Critical
CVSS2