Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10793

Опубликовано: 11 фев. 2022
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость компонента Curve.IsOnCurve языка программирования Golang связана с некорректной проверкой возвращаемого значения метода или функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать влияние на доступность и целостность ресурса

Вендор

Сообщество свободного программного обеспечения
Novell Inc.
Red Hat Inc.
ООО «Ред Софт»
The Go Project

Наименование ПО

Debian GNU/Linux
SUSE Linux Enterprise High Performance Computing
Red Hat Enterprise Linux
SUSE Enterprise Storage
Red Hat Ceph Storage
Red Hat Storage
OpenShift Container Platform
Red Hat Quay
РЕД ОС
Red Hat Advanced Cluster Management for Kubernetes
Go
Red Hat OpenStack Platform
Service Telemetry Framework
OpenShift Developer Tools and Services
Red Hat OpenShift Virtualization
OpenShift Serverless
Red Hat Ansible Automation Platform
Red Hat Openshift Data Foundation
Red Hat Developer Tools
Migration Toolkit for Containers
OpenShift API for Data Protection
Openshift Service Mesh
Logging subsystem for Red Hat OpenShift

Версия ПО

9 (Debian GNU/Linux)
12 (SUSE Linux Enterprise High Performance Computing)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
6 (SUSE Enterprise Storage)
3 (Red Hat Ceph Storage)
3 (Red Hat Storage)
4 (OpenShift Container Platform)
3 (Red Hat Quay)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
15 SP3 (SUSE Linux Enterprise High Performance Computing)
7 (SUSE Enterprise Storage)
15 SP2-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)
2 (Red Hat Advanced Cluster Management for Kubernetes)
4.10 (OpenShift Container Platform)
до 1.16.14 (Go)
от 1.17.0 до 1.17.7 (Go)
16.2 (Red Hat OpenStack Platform)
7.1 (SUSE Enterprise Storage)
15 SP1 (SUSE Linux Enterprise High Performance Computing)
1.3 for RHEL 8 (Service Telemetry Framework)
1.4 for RHEL 8 (Service Telemetry Framework)
4.11 (OpenShift Container Platform)
- (OpenShift Developer Tools and Services)
16.1 (Red Hat OpenStack Platform)
4 (Red Hat OpenShift Virtualization)
- (OpenShift Serverless)
2 (Red Hat Ansible Automation Platform)
4.11 on RHEL8 (Red Hat Openshift Data Foundation)
- (Red Hat Developer Tools)
1.2 (Red Hat Ansible Automation Platform)
- (Migration Toolkit for Containers)
- (OpenShift API for Data Protection)
2.1 (Openshift Service Mesh)
- (Logging subsystem for Red Hat OpenShift)
1 on RHEL 8 (OpenShift Serverless)
2.0 (Openshift Service Mesh)
1.22 (OpenShift Serverless)
2.3 for RHEL 8 (Red Hat Advanced Cluster Management for Kubernetes)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство
ПО программно-аппаратного средства
ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Golang:
https://groups.google.com/g/golang-announce/c/SUsQn0aSgPQ
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-23806
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23806
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-23806
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23806.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00022
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-23806

CVSS3: 9.1
ubuntu
больше 3 лет назад

Curve.IsOnCurve in crypto/elliptic in Go before 1.16.14 and 1.17.x before 1.17.7 can incorrectly return true in situations with a big.Int value that is not a valid field element.

redhat логотип

CVE-2022-23806

CVSS3: 7.1
redhat
больше 3 лет назад

Curve.IsOnCurve in crypto/elliptic in Go before 1.16.14 and 1.17.x before 1.17.7 can incorrectly return true in situations with a big.Int value that is not a valid field element.

nvd логотип

CVE-2022-23806

CVSS3: 9.1
nvd
больше 3 лет назад

Curve.IsOnCurve in crypto/elliptic in Go before 1.16.14 and 1.17.x before 1.17.7 can incorrectly return true in situations with a big.Int value that is not a valid field element.

msrc логотип

CVE-2022-23806

CVSS3: 9.1
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2022-23806

CVSS3: 9.1
debian
больше 3 лет назад

Curve.IsOnCurve in crypto/elliptic in Go before 1.16.14 and 1.17.x bef ...

EPSS

Процентиль: 4%
0.00022
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2