НКЦКИ

НАЦИОНАЛЬНЫЙ КООРДИНАЦИОННЫЙ ЦЕНТР

ПО КОМПЬЮТЕРНЫМ ИНЦИДЕНТАМ

Веб-сайт: cert.gov.ru
E-mail: threats@cert.gov.ru

Бюллетень об уязвимостях программного обеспечения

VULN.2023-03-10.1 | 10 марта 2023 года

TLP: WHITE
 2
Перечень уязвимостей
№ Дата Наличие
Опасность Идентификатор Уязвимый продукт Вектор атаки Последствия
п/п выявления обновление

1 Критическая CVE-2022-42889 PowerFlex rack Сетевой ACE 2022-10-13 ✔

Advanced Server Access client for
2 Высокая CVE-2022-24295
Windows
Сетевой ACE 2023-03-08 ✔

3 Критическая CVE-2023-22741 Sofia-SIP Сетевой ACE 2023-03-08 ✔

4 Высокая CVE-2022-48303 OpenShift Logging Локальный ACE 2023-03-09 ✔
5 Высокая CVE-2022-45061 OpenShift Logging Сетевой DoS 2023-03-09 ✔
6 Высокая CVE-2022-43945 OpenShift Logging Сетевой DoS 2023-03-09 ✔
7 Высокая CVE-2022-24999 OpenShift Logging Сетевой DoS 2023-03-09 ✔
Cisco IOS XR, Cisco ASR 9000 Series
Aggregation Services Routers, ASR 9902
8 Высокая CVE-2023-20049 Compact High-Performance Routers, Сетевой DoS 2023-03-09 ✔
ASR 9903 Compact High-Performance
Routers
 3

Краткое описание: Выполнение произвольного кода в PowerFlex rack

Идентификатор уязвимости: CVE-2022-42889
Идентификатор программной ошибки: CWE-94 Некорректное управление генерированием кода (внедрение кода)
Уязвимый продукт: PowerFlex rack: до 3.6.0.7
Категория уязвимого продукта: Прикладное программное обеспечение
Способ эксплуатации: Отправка специально сформированных данных.
Последствия эксплуатации: Выполнение произвольного кода
Рекомендации по устранению: Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой
и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения
1
только после оценки всех сопутствующих рисков.
Оценка CVSSv3: 9.8 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Вектор атаки: Сетевой
Взаимодействие с пользователем: Отсутствует
Средства устранения уязвимости: Не определено
Дата выявления / Дата обновления: 2022-10-13 / 2023-03-01
Ссылки на источник:
• https://nvd.nist.gov/vuln/detail/cve-2022-42889
• https://bdu.fstec.ru/vul/2022-06275
 4

Краткое описание: Выполнение произвольного кода в Advanced Server Access client for Windows
Идентификатор уязвимости: CVE-2022-24295
Идентификатор программной ошибки: CWE-78 Некорректная нейтрализация специальных элементов, используемых в системных
командах (внедрение команд ОС)
Уязвимый продукт: Advanced Server Access client for Windows: 1.44.2 - 1.56.1
Категория уязвимого продукта: Прикладное программное обеспечение
Способ эксплуатации: Открытие пользователем специально созданной вредоносной веб-страницы.
Последствия эксплуатации: Выполнение произвольного кода
Рекомендации по устранению: Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой
2
и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения
только после оценки всех сопутствующих рисков.
Оценка CVSSv3: 8.8 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Вектор атаки: Сетевой
Взаимодействие с пользователем: Требуется
Средства устранения уязвимости: Не определено
Дата выявления / Дата обновления: 2023-03-08 / 2023-03-08
Ссылки на источник:
• https://nvd.nist.gov/vuln/detail/CVE-2022-24295
 5

Краткое описание: Выполнение произвольного кода в Sofia-SIP

Идентификатор уязвимости: CVE-2023-22741
Идентификатор программной ошибки: CWE-787 Запись за границами буфера
Уязвимый продукт: Sofia-SIP: 1.13.2 - 1.13.10
Категория уязвимого продукта: Универсальные компоненты и библиотеки
Способ эксплуатации: Отправка специально сформированных данных.
Последствия эксплуатации: Выполнение произвольного кода
Рекомендации по устранению: Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой
3 и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения
только после оценки всех сопутствующих рисков.
Оценка CVSSv3: 9.8 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Вектор атаки: Сетевой
Взаимодействие с пользователем: Отсутствует
Средства устранения уязвимости: Не определено
Дата выявления / Дата обновления: 2023-03-08 / 2023-03-08
Ссылки на источник:
• https://nvd.nist.gov/vuln/detail/CVE-2023-22741
 6

Краткое описание: Выполнение произвольного кода в OpenShift Logging

Идентификатор уязвимости: CVE-2022-48303
Идентификатор программной ошибки: CWE-122 Переполнение буфера в динамической памяти
Уязвимый продукт: OpenShift Logging: 5.6.0 - 5.6.2
Категория уязвимого продукта: Серверное программное обеспечение и его компоненты
Способ эксплуатации: Открытие пользователем специально созданного вредоносного файла.
Последствия эксплуатации: Выполнение произвольного кода
Рекомендации по устранению: Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой
и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения
4
только после оценки всех сопутствующих рисков.
Оценка CVSSv3: 7.8 AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Вектор атаки: Локальный
Взаимодействие с пользователем: Требуется
Средства устранения уязвимости: Не определено
Дата выявления / Дата обновления: 2023-03-09 / 2023-03-09
Ссылки на источник:
• https://nvd.nist.gov/vuln/detail/CVE-2022-48303
• https://bdu.fstec.ru/vul/2023-00577
 7

Краткое описание: Отказ в обслуживании в OpenShift Logging

Идентификатор уязвимости: CVE-2022-45061
Идентификатор программной ошибки: CWE-400 Неконтролируемое использование ресурсов (исчерпание ресурсов)
Уязвимый продукт: OpenShift Logging: 5.6.0 - 5.6.2
Категория уязвимого продукта: Серверное программное обеспечение и его компоненты
Способ эксплуатации: Отправка специально сформированных данных.
Последствия эксплуатации: Отказ в обслуживании
Рекомендации по устранению: Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой
5 и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения
только после оценки всех сопутствующих рисков.
Оценка CVSSv3: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Вектор атаки: Сетевой
Взаимодействие с пользователем: Отсутствует
Средства устранения уязвимости: Не определено
Дата выявления / Дата обновления: 2023-03-09 / 2023-03-09
Ссылки на источник:
• https://nvd.nist.gov/vuln/detail/CVE-2022-45061
 8

Краткое описание: Отказ в обслуживании в OpenShift Logging

Идентификатор уязвимости: CVE-2022-43945
Идентификатор программной ошибки: CWE-119 Выполнение операций за пределами буфера памяти
Уязвимый продукт: OpenShift Logging: 5.6.0 - 5.6.2
Категория уязвимого продукта: Серверное программное обеспечение и его компоненты
Способ эксплуатации: Отправки специально сформированного запроса.
Последствия эксплуатации: Отказ в обслуживании
Рекомендации по устранению: Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой
и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения
6
только после оценки всех сопутствующих рисков.
Оценка CVSSv3: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Вектор атаки: Сетевой
Взаимодействие с пользователем: Отсутствует
Средства устранения уязвимости: Не определено
Дата выявления / Дата обновления: 2023-03-09 / 2023-03-09
Ссылки на источник:
• https://nvd.nist.gov/vuln/detail/CVE-2022-43945
• https://bdu.fstec.ru/vul/2023-00360
 9

Краткое описание: Отказ в обслуживании в OpenShift Logging

Идентификатор уязвимости: CVE-2022-24999
Идентификатор программной ошибки: CWE-94 Некорректное управление генерированием кода (внедрение кода)
Уязвимый продукт: OpenShift Logging: 5.6.0 - 5.6.2
Категория уязвимого продукта: Серверное программное обеспечение и его компоненты
Способ эксплуатации: Отправка специально созданного запроса.
Последствия эксплуатации: Отказ в обслуживании
Рекомендации по устранению: Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой
7 и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения
только после оценки всех сопутствующих рисков.
Оценка CVSSv3: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Вектор атаки: Сетевой
Взаимодействие с пользователем: Отсутствует
Средства устранения уязвимости: Не определено
Дата выявления / Дата обновления: 2023-03-09 / 2023-03-09
Ссылки на источник:
• https://nvd.nist.gov/vuln/detail/CVE-2022-24999
 10

Краткое описание: Отказ в обслуживании в Cisco IOS XR, Cisco ASR 9000 Series Aggregation Services Routers, ASR 9902 Compact High-
Performance Routers, ASR 9903 Compact High-Performance Routers
Идентификатор уязвимости: CVE-2023-20049
Идентификатор программной ошибки: CWE-20 Некорректная проверка входных данных
Уязвимый продукт: Cisco IOS XR 6.5 - 7.7.0
Cisco ASR 9000 Series Aggregation Services Routers All versions
ASR 9902 Compact High-Performance Routers All versions
ASR 9903 Compact High-Performance Routers All versions
Категория уязвимого продукта: Телекоммуникационное оборудование
Способ эксплуатации: Отправка специально сформированных данных.
Последствия эксплуатации: Отказ в обслуживании
8
Рекомендации по устранению: Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой
и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения
только после оценки всех сопутствующих рисков.
Оценка CVSSv3: 8.6 AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Вектор атаки: Сетевой
Взаимодействие с пользователем: Отсутствует
Средства устранения уязвимости: Не определено
Дата выявления / Дата обновления: 2023-03-09 / 2023-03-09
Ссылки на источник:
• https://nvd.nist.gov/vuln/detail/CVE-2023-20049