BDU:2022-03039

Red Hat Inc., Nate Fischer, Brandon Freitag, ФССП России, ООО «Ред Софт» ОС ТД АИС ФССП России, Red Hat Advanced Cluster Management for Kubernetes, ShellJS, РЕД ОС

НЕ ОЦЕНЕНО

Дата обнаружения

2021-12-26

Официальное описание

Уязвимость функции exec() интерпретатора команд ShellJS связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации, повысить привилегии или вызвать отказ в обслуживании с помощью специально созданных Stdout/Stderr файлов

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Для ShellJS: https://github.com/shelljs/shelljs/pull/1060

Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-0144

Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/

Организационные меры: Файлы stdout, stderr и paramFiles, созданные при выполнении exec(), должны иметь только права на чтение и запись, доступные для текущего процесса. Это можно сделать с помощью предварительного создания файлов paramFile, stderr и stdout и их блокировки перед выполнением любой операции записи.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей