Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07404

Опубликовано: 05 дек. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость утилиты командной строки cURL связана с ошибкой границ при разборе файла .netrc. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
Novell Inc.
ООО «Ред Софт»
АО «ИВК»
Дэниел Стенберг
АО "НППКТ"

Наименование ПО

Ubuntu
Debian GNU/Linux
openSUSE Tumbleweed
РЕД ОС
Альт 8 СП
cURL
ОСОН ОСнова Оnyx

Версия ПО

18.04 LTS (Ubuntu)
10 (Debian GNU/Linux)
- (openSUSE Tumbleweed)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
- (Альт 8 СП)
22.04 LTS (Ubuntu)
22.10 (Ubuntu)
до 7.86.0 (cURL)
до 2.7 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 18.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
Canonical Ltd. Ubuntu 22.10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для cURL:
https://github.com/curl/curl/commit/c97ec984fb2bc919a3aa863e0476dffa377b184c
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-35260
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-35260.html
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5702-1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.87.0-2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%
0.00244
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-35260

CVSS3: 6.5
ubuntu
больше 2 лет назад

curl can be told to parse a `.netrc` file for credentials. If that file endsin a line with 4095 consecutive non-white space letters and no newline, curlwould first read past the end of the stack-based buffer, and if the readworks, write a zero byte beyond its boundary.This will in most cases cause a segfault or similar, but circumstances might also cause different outcomes.If a malicious user can provide a custom netrc file to an application or otherwise affect its contents, this flaw could be used as denial-of-service.

redhat логотип

CVE-2022-35260

CVSS3: 5.3
redhat
больше 2 лет назад

curl can be told to parse a `.netrc` file for credentials. If that file endsin a line with 4095 consecutive non-white space letters and no newline, curlwould first read past the end of the stack-based buffer, and if the readworks, write a zero byte beyond its boundary.This will in most cases cause a segfault or similar, but circumstances might also cause different outcomes.If a malicious user can provide a custom netrc file to an application or otherwise affect its contents, this flaw could be used as denial-of-service.

nvd логотип

CVE-2022-35260

CVSS3: 6.5
nvd
больше 2 лет назад

curl can be told to parse a `.netrc` file for credentials. If that file endsin a line with 4095 consecutive non-white space letters and no newline, curlwould first read past the end of the stack-based buffer, and if the readworks, write a zero byte beyond its boundary.This will in most cases cause a segfault or similar, but circumstances might also cause different outcomes.If a malicious user can provide a custom netrc file to an application or otherwise affect its contents, this flaw could be used as denial-of-service.

msrc логотип

CVE-2022-35260

CVSS3: 6.5
msrc
12 месяцев назад

Описание отсутствует

debian логотип

CVE-2022-35260

CVSS3: 6.5
debian
больше 2 лет назад

curl can be told to parse a `.netrc` file for credentials. If that fil ...

EPSS

Процентиль: 48%
0.00244
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2