BDU:2022-06193
АО "НППКТ", ООО «Ред Софт», Red Hat Inc., АО «ИВК», ФССП России, ООО «РусБИТех-Астра», Fedora Projec Red Hat Enterprise Linux, Fedora, cURL, JBoss Core Services, Альт 8 СП, Astra Linux Special Edition,
2022-06-26
Уязвимость утилиты командной строки cURL связана с недостаточной проверкой входных данных при обработке файлов cookie с контрольными кодами, значения байтов которых меньше 32. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании (ошибка 400 Bad Request) путем отправки cookie-файлов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для cURL: https://curl.se/docs/CVE-2022-35252.html https://github.com/curl/curl/commit/8dfc93e573ca740544a2d79ebb
Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/
Для продуктов Red Hat inc.: https://access.redhat.com/security/cve/cve-2022-35252
Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-97e8d1d29c https://bodhi.fedoraproject.org/updates/FEDORA-2022-5131c26a69 https://bodhi.fedoraproject.org/updates/FEDORA-2022-20e0f8d1cd
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения curl до версии 7.87.0-2
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD