Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05004

Опубликовано: 10 авг. 2022
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость пакета libtar связана с инициацией вызова malloc(0) для переменной gnu_longlink. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Fedora Project
ООО «Ред Софт»
Novell Inc.

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Fedora
РЕД ОС
SUSE Liberty Linux
libtar

Версия ПО

8 (Red Hat Enterprise Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
35 (Fedora)
7.3 (РЕД ОС)
36 (Fedora)
37 (Fedora)
8 (SUSE Liberty Linux)
до 1.2.21 (libtar)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
Fedora Project Fedora 36
Fedora Project Fedora 37
Novell Inc. SUSE Liberty Linux 8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4S4PJRCJLEAWN2EKXGLSOBTL7O57V7NC/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5YSHZY753R7XW6CIKJVAWI373WW3YRRJ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7Q26QDNOJDOFYWMJWEIK5XR62M2FF6IJ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7WX5YE66CT7Y5C2HTHXSFDKQWYWYWJ2T/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/OD4HEBSTI22FNYKOKK7W3X6ZQE6FV3XC/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-33643
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-33643
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-33643.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 38%
0.00159
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-33643

CVSS3: 9.1
ubuntu
почти 3 года назад

An attacker who submits a crafted tar file with size in header struct being 0 may be able to trigger an calling of malloc(0) for a variable gnu_longlink, causing an out-of-bounds read.

redhat логотип

CVE-2021-33643

CVSS3: 7.4
redhat
почти 3 года назад

An attacker who submits a crafted tar file with size in header struct being 0 may be able to trigger an calling of malloc(0) for a variable gnu_longlink, causing an out-of-bounds read.

nvd логотип

CVE-2021-33643

CVSS3: 9.1
nvd
почти 3 года назад

An attacker who submits a crafted tar file with size in header struct being 0 may be able to trigger an calling of malloc(0) for a variable gnu_longlink, causing an out-of-bounds read.

msrc логотип

CVE-2021-33643

CVSS3: 9.1
msrc
почти 3 года назад

Описание отсутствует

debian логотип

CVE-2021-33643

CVSS3: 9.1
debian
почти 3 года назад

An attacker who submits a crafted tar file with size in header struct ...

EPSS

Процентиль: 38%
0.00159
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2