BDU:2022-03178
АО "НППКТ", Novell Inc., ООО «Ред Софт», АО «ИВК», ФССП России, Fedora Project, Daniel Stenberg Fedora, cURL, Альт 8 СП, ОСОН ОСнова Оnyx, openSUSE Tumbleweed, ОС ТД АИС ФССП России, РЕД ОС
2022-01-27
Уязвимость утилиты командной строки cURL связана с ошибкой установки файлов cookie для доменов верхнего уровня (TLD) с применением завершающей точки в имени хоста. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью файлов cookie
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для cURL: https://curl.se/docs/CVE-2022-27779.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для продуктов Novell Inc.: https://www.suse.com/es-es/security/cve/CVE-2022-27779.html
Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-d15a736748
Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-27779
Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/
Для Альт 8 СП: https://altsp.su/obnovleniya-bezopasnosti/
Организационные меры: Рекомендуется использовать cURL с поддержкой библиотеки списка общедоступных суффиксов libpsl (т.к ошибка связана с обработкой общедоступных суффиксов). Следует отказаться от использования файлов cookie, нарушающих конфиденциальность для суффиксов доменных имен высокого уровня
Для ОСОН Основа: Обновление программного обеспечения curl до версии 7.83.1-1