Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06489

Опубликовано: 21 окт. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость компонента Crash Report функции sigsegvHandler файла debug.c системы управления базами данных Redis связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
Redis Labs

Наименование ПО

Red Hat Enterprise Linux
Jboss Fuse
Red Hat Software Collections
Red Hat OpenStack Platform
РЕД ОС
Red Hat Advanced Cluster Management for Kubernetes
РОСА ХРОМ
Redis

Версия ПО

8 (Red Hat Enterprise Linux)
7 (Jboss Fuse)
- (Red Hat Software Collections)
13.0 (Queens) (Red Hat OpenStack Platform)
7.3 (РЕД ОС)
2 (Red Hat Advanced Cluster Management for Kubernetes)
9 (Red Hat Enterprise Linux)
12.4 (РОСА ХРОМ)
до 6.2.8 (Redis)
от 7.0.0 до 7.0.6 (Redis)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО программно-аппаратного средства
Сетевое средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств антивирусной защиты;
- использование средств межсетевого экранирования с целью ограничения возможности получения доступа к базе данных.
Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/commit/0bf90d944313919eb8e63d3588bf63a367f020a3
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-3647
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-redis-cve-2022-3647/
Для операционной системы РОСА ХРОМ:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2174

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 22%
0.0007
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-3647

CVSS3: 3.1
ubuntu
больше 2 лет назад

** DISPUTED ** A vulnerability, which was classified as problematic, was found in Redis up to 6.2.7/7.0.5. Affected is the function sigsegvHandler of the file debug.c of the component Crash Report. The manipulation leads to denial of service. The complexity of an attack is rather high. The exploitability is told to be difficult. The real existence of this vulnerability is still doubted at the moment. Upgrading to version 6.2.8 and 7.0.6 is able to address this issue. The patch is identified as 0bf90d944313919eb8e63d3588bf63a367f020a3. It is recommended to apply a patch to fix this issue. VDB-211962 is the identifier assigned to this vulnerability. NOTE: The vendor claims that this is not a DoS because it applies to the crash logging mechanism which is triggered after a crash has occurred.

redhat логотип

CVE-2022-3647

CVSS3: 2.3
redhat
больше 2 лет назад

** DISPUTED ** A vulnerability, which was classified as problematic, was found in Redis up to 6.2.7/7.0.5. Affected is the function sigsegvHandler of the file debug.c of the component Crash Report. The manipulation leads to denial of service. The complexity of an attack is rather high. The exploitability is told to be difficult. The real existence of this vulnerability is still doubted at the moment. Upgrading to version 6.2.8 and 7.0.6 is able to address this issue. The patch is identified as 0bf90d944313919eb8e63d3588bf63a367f020a3. It is recommended to apply a patch to fix this issue. VDB-211962 is the identifier assigned to this vulnerability. NOTE: The vendor claims that this is not a DoS because it applies to the crash logging mechanism which is triggered after a crash has occurred.

nvd логотип

CVE-2022-3647

CVSS3: 3.1
nvd
больше 2 лет назад

** DISPUTED ** A vulnerability, which was classified as problematic, was found in Redis up to 6.2.7/7.0.5. Affected is the function sigsegvHandler of the file debug.c of the component Crash Report. The manipulation leads to denial of service. The complexity of an attack is rather high. The exploitability is told to be difficult. The real existence of this vulnerability is still doubted at the moment. Upgrading to version 6.2.8 and 7.0.6 is able to address this issue. The patch is identified as 0bf90d944313919eb8e63d3588bf63a367f020a3. It is recommended to apply a patch to fix this issue. VDB-211962 is the identifier assigned to this vulnerability. NOTE: The vendor claims that this is not a DoS because it applies to the crash logging mechanism which is triggered after a crash has occurred.

msrc логотип

CVE-2022-3647

CVSS3: 3.3
msrc
больше 2 лет назад

Описание отсутствует

debian логотип

CVE-2022-3647

CVSS3: 3.1
debian
больше 2 лет назад

** DISPUTED ** A vulnerability, which was classified as problematic, w ...

EPSS

Процентиль: 22%
0.0007
Низкий

7.5 High

CVSS3

7.8 High

CVSS2