Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06193

Опубликовано: 26 июн. 2022
Источник: fstec
CVSS3: 3.7
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость утилиты командной строки cURL связана с недостаточной проверкой входных данных при обработке файлов cookie с контрольными кодами, значения байтов которых меньше 32. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании (ошибка 400 Bad Request) путем отправки cookie-файлов

Вендор

Red Hat Inc.
Fedora Project
ООО «Ред Софт»
ООО «РусБИТех-Астра»
ФССП России
АО «ИВК»
Дэниел Стенберг
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
JBoss Core Services
Fedora
РЕД ОС
Astra Linux Special Edition
ОС ТД АИС ФССП России
Альт 8 СП
cURL
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
- (JBoss Core Services)
35 (Fedora)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
36 (Fedora)
9 (Red Hat Enterprise Linux)
37 (Fedora)
от 4.9 до 7.84.0 включительно (cURL)
4.7 (Astra Linux Special Edition)
до 2.7 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 37
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2022-35252.html
https://github.com/curl/curl/commit/8dfc93e573ca740544a2d79ebb
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для продуктов Red Hat inc.:
https://access.redhat.com/security/cve/cve-2022-35252
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-97e8d1d29c
https://bodhi.fedoraproject.org/updates/FEDORA-2022-5131c26a69
https://bodhi.fedoraproject.org/updates/FEDORA-2022-20e0f8d1cd
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения curl до версии 7.87.0-2
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%
0.00066
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-35252

CVSS3: 3.7
ubuntu
больше 2 лет назад

When curl is used to retrieve and parse cookies from a HTTP(S) server, itaccepts cookies using control codes that when later are sent back to a HTTPserver might make the server return 400 responses. Effectively allowing a"sister site" to deny service to all siblings.

redhat логотип

CVE-2022-35252

CVSS3: 3.1
redhat
почти 3 года назад

When curl is used to retrieve and parse cookies from a HTTP(S) server, itaccepts cookies using control codes that when later are sent back to a HTTPserver might make the server return 400 responses. Effectively allowing a"sister site" to deny service to all siblings.

nvd логотип

CVE-2022-35252

CVSS3: 3.7
nvd
больше 2 лет назад

When curl is used to retrieve and parse cookies from a HTTP(S) server, itaccepts cookies using control codes that when later are sent back to a HTTPserver might make the server return 400 responses. Effectively allowing a"sister site" to deny service to all siblings.

msrc логотип

CVE-2022-35252

CVSS3: 3.7
msrc
больше 2 лет назад

Описание отсутствует

debian логотип

CVE-2022-35252

CVSS3: 3.7
debian
больше 2 лет назад

When curl is used to retrieve and parse cookies from a HTTP(S) server, ...

EPSS

Процентиль: 21%
0.00066
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2