Описание
Уязвимость функции th_read() пакета libtar связана с отсутствием освобождения памяти после эффективного срока службы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации
Вендор
Red Hat Inc.
Сообщество свободного программного обеспечения
Fedora Project
ООО «Ред Софт»
Novell Inc.
Наименование ПО
Red Hat Enterprise Linux
Debian GNU/Linux
Fedora
РЕД ОС
SUSE Liberty Linux
libtar
Версия ПО
8 (Red Hat Enterprise Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
35 (Fedora)
7.3 (РЕД ОС)
36 (Fedora)
37 (Fedora)
8 (SUSE Liberty Linux)
до 1.2.21 (libtar)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
Fedora Project Fedora 36
Fedora Project Fedora 37
Novell Inc. SUSE Liberty Linux 8
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4S4PJRCJLEAWN2EKXGLSOBTL7O57V7NC/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5YSHZY753R7XW6CIKJVAWI373WW3YRRJ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7Q26QDNOJDOFYWMJWEIK5XR62M2FF6IJ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7WX5YE66CT7Y5C2HTHXSFDKQWYWYWJ2T/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/OD4HEBSTI22FNYKOKK7W3X6ZQE6FV3XC/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-33645
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-33645
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-33645.html
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 37%
0.00154
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
почти 3 года назад
The th_read() function doesn’t free a variable t->th_buf.gnu_longlink after allocating memory, which may cause a memory leak.
CVSS3: 7.5
redhat
почти 3 года назад
The th_read() function doesn’t free a variable t->th_buf.gnu_longlink after allocating memory, which may cause a memory leak.
CVSS3: 7.5
nvd
почти 3 года назад
The th_read() function doesn’t free a variable t->th_buf.gnu_longlink after allocating memory, which may cause a memory leak.
CVSS3: 7.5
debian
почти 3 года назад
The th_read() function doesn\u2019t free a variable t->th_buf.gnu_long ...
EPSS
Процентиль: 37%
0.00154
Низкий
7.5 High
CVSS3
7.8 High
CVSS2