Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03247

Опубликовано: 09 нояб. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость кэш-сервера Varnish связана с подделкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации с помощью специально созданного HTTP-запроса

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО "НППКТ"
Varnish Software

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
ОСОН ОСнова Оnyx
Varnish

Версия ПО

8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.4 Extended Update Support (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
8.2 Telecommunications Update Service (Red Hat Enterprise Linux)
8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.6 Extended Update Support (Red Hat Enterprise Linux)
9.0 Extended Update Support (Red Hat Enterprise Linux)
8.2 Advanced Update Support (Red Hat Enterprise Linux)
до 2.7 (ОСОН ОСнова Оnyx)
до 6.0.11 (Varnish)
до 7.1.2 (Varnish)
до 7.2.1 (Varnish)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8.2 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для Varnish:
https://docs.varnish-software.com/security/VSV00011/
https://varnish-cache.org/security/VSV00011.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-45060
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-45060
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения varnish до версии 6.1.1-1+deb10u4

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 55%
0.00329
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-45060

CVSS3: 7.5
ubuntu
больше 2 лет назад

An HTTP Request Forgery issue was discovered in Varnish Cache 5.x and 6.x before 6.0.11, 7.x before 7.1.2, and 7.2.x before 7.2.1. An attacker may introduce characters through HTTP/2 pseudo-headers that are invalid in the context of an HTTP/1 request line, causing the Varnish server to produce invalid HTTP/1 requests to the backend. This could, in turn, be used to exploit vulnerabilities in a server behind the Varnish server. Note: the 6.0.x LTS series (before 6.0.11) is affected.

redhat логотип

CVE-2022-45060

CVSS3: 7.5
redhat
больше 2 лет назад

An HTTP Request Forgery issue was discovered in Varnish Cache 5.x and 6.x before 6.0.11, 7.x before 7.1.2, and 7.2.x before 7.2.1. An attacker may introduce characters through HTTP/2 pseudo-headers that are invalid in the context of an HTTP/1 request line, causing the Varnish server to produce invalid HTTP/1 requests to the backend. This could, in turn, be used to exploit vulnerabilities in a server behind the Varnish server. Note: the 6.0.x LTS series (before 6.0.11) is affected.

nvd логотип

CVE-2022-45060

CVSS3: 7.5
nvd
больше 2 лет назад

An HTTP Request Forgery issue was discovered in Varnish Cache 5.x and 6.x before 6.0.11, 7.x before 7.1.2, and 7.2.x before 7.2.1. An attacker may introduce characters through HTTP/2 pseudo-headers that are invalid in the context of an HTTP/1 request line, causing the Varnish server to produce invalid HTTP/1 requests to the backend. This could, in turn, be used to exploit vulnerabilities in a server behind the Varnish server. Note: the 6.0.x LTS series (before 6.0.11) is affected.

debian логотип

CVE-2022-45060

CVSS3: 7.5
debian
больше 2 лет назад

An HTTP Request Forgery issue was discovered in Varnish Cache 5.x and ...

rocky логотип

RLSA-2022:8649

rocky
больше 2 лет назад

Important: varnish:6 security update

EPSS

Процентиль: 55%
0.00329
Низкий

7.5 High

CVSS3

7.8 High

CVSS2