Описание
Множественные уязвимости cURL
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета cURL или Установить обновление для пакета(ов) cURL
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
24.05.2022
CVE-2022-30115
Идентификатор БДУ ФСТЭК России:
BDU:2022-03187Описание уязвимости:
Уязвимость утилиты командной строки cURL связана с ошибкой в реализации HSTS, которая может позволить curl продолжать использовать протокол HTTP вместо HTTPS, если имя хоста в указанном URL-адресе использовало конечную точку, но не использовало ее при построении кэша HSTS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить перехват трафика и получить потенциально конфиденциальную информацию
4.3 Medium
CVSS3
3.3 Low
CVSS2
CVE-2022-27782
Идентификатор БДУ ФСТЭК России:
BDU:2022-03185Описание уязвимости:
Уязвимость утилиты командной строки cURL связана с тем как libcurl обрабатывает ранее использованные соединения в пуле соединений для последующих передач. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять строку аутентификации с одного ресурса на другой, раскрывая учетные данные третьей стороне
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-27781
Идентификатор БДУ ФСТЭК России:
BDU:2022-03180Описание уязвимости:
Уязвимость утилиты командной строки cURL связана с бесконечным циклом при обработке запросов с параметром CURLOPT_CERTINFO. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, потреблять все доступные системные ресурсы и вызывать условия отказа в обслуживании
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-27780
Идентификатор БДУ ФСТЭК России:
BDU:2022-03184Описание уязвимости:
Уязвимость утилиты командной строки cURL связана с тем, что синтаксический анализатор URL-адресов curl неправильно принимает разделители URL-адресов с процентным кодированием, такие как «/», при декодировании части имени хоста в URL-адресе, превращая его в другой URL-адрес, использующий неправильное имя хоста, когда он позже извлекается. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти различные внутренние фильтры и проверки и заставить curl подключиться к неправильному веб-приложению
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-27779
Идентификатор БДУ ФСТЭК России:
BDU:2022-03178Описание уязвимости:
Уязвимость утилиты командной строки cURL связана с тем, что libcurl ошибочно разрешает устанавливать файлы cookie HTTP для доменов верхнего уровня (TLD), если имя хоста снабжено завершающей точкой. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создавать файлы cookie, которые впоследствии отправляются на другой и не связанный с ним сайт или домен
4.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-27778
Идентификатор БДУ ФСТЭК России:
BDU:2022-03177Описание уязвимости:
Уязвимость утилиты командной строки cURL связана с инструментарием —no-clobber, который используется вместе с --remove-on-error. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обманом заставить жертву подключиться к вредоносному серверу и заставить инструмент командной строки удалить неожиданные файлы
3.1 Low
CVSS3
2.6 Low
CVSS2