BDU:2022-05817
АО "НППКТ", Novell Inc., ООО «Ред Софт», Canonical Ltd., АО «ИВК», Сообщество свободного программног SUSE Manager Retail Branch Server, ОСОН ОСнова Оnyx, SUSE Enterprise Storage, Альт 8 СП, SUSE Linux
2022-06-27
Уязвимость демона HTTP-сервера HTTP Daemon связана с непоследовательной интерпритацией HTTP-запросов при обработке значений строки 'Content-Length'. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии путем отправки специально созданных скрытых HTTP-запросов (атака типа HTTP Request Smuggling)
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для HTTP Daemon: https://github.com/libwww-perl/HTTP-Daemon/commit/8dc5269d59e2d5d9eb1647d82c449ccd880f7fd0 https://github.com/libwww-perl/HTTP-Daemon/commit/e84475de51d6fd7b29354a997413472a99db70b2 https://github.com/libwww-perl/HTTP-Daemon/security/advisories/GHSA-cg8c-pxmv-w7cf
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-31081.html
Для Ubuntu: https://ubuntu.com/security/notices/USN-5520-1 https://ubuntu.com/security/notices/USN-5520-2
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libhttp-daemon-perl до версии 6.14-2
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/