BDU:2019-00186: Уязвимость библиотеки OpenSSL, связанная с ошибками обработки криптографических ключей при использовании протокола DH (E), позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость библиотеки OpenSSL связана с ошибками обработки криптографических ключей при использовании протокола DH (E). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd., Oracle Corp., Software in the Public Interest Inc., OpenSSL Software Foundation, Node.js Foundation, IBM Corp.

Наименование ПО

Ubuntu, API Gateway, Debian GNU/Linux, Enterprise Manager Ops Center, JD Edwards EnterpriseOne Tools, VM VirtualBox, Tuxedo, PeopleSoft Enterprise PeopleTools, OpenSSL, Primavera P6 Enterprise Project Portfolio Management, Node.js, Communications WebRTC Session Controller, Communications Application Session Controller, Agile Engineering Data Management, Enterprise Manager Base Platform, Endeca Server, Communications EAGLE LNP Application Processor, Communications Operations Monitor, Communications Session Border Controller, Communications Unified Session Manager, Enterprise Communications Broker, Enterprise Session Border Controller, JD Edwards World Security, MySQL Workbench, OSS Support Tools

Версия ПО

  • 14.04 LTS (Ubuntu)
  • 11.1.2.4.0 (API Gateway)
  • 8.0 (Debian GNU/Linux)
  • 16.04 LTS (Ubuntu)
  • 17.10 (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 12.2.2 (Enterprise Manager Ops Center)
  • 12.3.3 (Enterprise Manager Ops Center)
  • 9.2 (JD Edwards EnterpriseOne Tools)
  • до 5.2.20 (VM VirtualBox)
  • 12.1.1.0 (Tuxedo)
  • 8.55 (PeopleSoft Enterprise PeopleTools)
  • 8.56 (PeopleSoft Enterprise PeopleTools)
  • 8.57 (PeopleSoft Enterprise PeopleTools)
  • от 1.0.2 включительно до 1.0.2o включительно (OpenSSL)
  • от 1.1.0 включительно до 1.1.0h включительно (OpenSSL)
  • 8.4 (Primavera P6 Enterprise Project Portfolio Management)
  • 15.1 (Primavera P6 Enterprise Project Portfolio Management)
  • 15.2 (Primavera P6 Enterprise Project Portfolio Management)
  • 16.1 (Primavera P6 Enterprise Project Portfolio Management)
  • 16.2 (Primavera P6 Enterprise Project Portfolio Management)
  • 18.8 (Primavera P6 Enterprise Project Portfolio Management)
  • от 17.7 до 17.12 (Primavera P6 Enterprise Project Portfolio Management)
  • 12.04 ESM (Ubuntu)
  • 10 (Node.js)
  • 11 (Node.js)
  • до 7.2 (Communications WebRTC Session Controller)
  • 3.7.1 (Communications Application Session Controller)
  • 3.8.0 (Communications Application Session Controller)
  • 6.1.3 (Agile Engineering Data Management)
  • 6.2.0 (Agile Engineering Data Management)
  • 6.2.1 (Agile Engineering Data Management)
  • 12.1.0.5 (Enterprise Manager Base Platform)
  • 7.7.0 (Endeca Server)
  • 6 (Node.js)
  • 8 (Node.js)
  • 10.0 (Communications EAGLE LNP Application Processor)
  • 10.1 (Communications EAGLE LNP Application Processor)
  • 10.2 (Communications EAGLE LNP Application Processor)
  • 3.4 (Communications Operations Monitor)
  • 4.0 (Communications Operations Monitor)
  • SCz7.4.0 (Communications Session Border Controller)
  • SCz7.4.1 (Communications Session Border Controller)
  • SCz8.0.0 (Communications Session Border Controller)
  • SCz8.1.0 (Communications Session Border Controller)
  • SCz7.3.5 (Communications Unified Session Manager)
  • PCz2.1 (Enterprise Communications Broker)
  • PCz2.2 (Enterprise Communications Broker)
  • PCz3.0 (Enterprise Communications Broker)
  • ECz7.4.0 (Enterprise Session Border Controller)
  • ECz7.5.0 (Enterprise Session Border Controller)
  • ECz8.0.0 (Enterprise Session Border Controller)
  • ECz8.1.0 (Enterprise Session Border Controller)
  • 13.2.0 (Enterprise Manager Base Platform)
  • 13.3.0 (Enterprise Manager Base Platform)
  • A9.3 (JD Edwards World Security)
  • A9.3.1 (JD Edwards World Security)
  • A9.4 (JD Edwards World Security)
  • до 8.0.13 включительно (MySQL Workbench)
  • до 19.1 (OSS Support Tools)

Тип ПО

Операционная система, ПО программно-аппаратных средств защиты, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем, Программное средство защиты

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Ошибки управления ключами

Идентификатор типа ошибки

Класс уязвимости

Уязвимость архитектуры

Дата выявления

12.06.2018

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Обновление пограммного обеспечения до более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://www.openssl.org/news/secadv/20180612.txt
http://www.securityfocus.com/bid/104442
http://www.securitytracker.com/id/1041090
https://access.redhat.com/errata/RHSA-2018:2552
https://access.redhat.com/errata/RHSA-2018:2553
https://access.redhat.com/errata/RHSA-2018:3221
https://access.redhat.com/errata/RHSA-2018:3505
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3984ef0b72831da8b3ece4745cac4f8575b19098
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ea7abeeabf92b7aca160bdd0208636d4da69f4f4
https://lists.debian.org/debian-lts-announce/2018/07/msg00043.html
https://nodejs.org/en/blog/vulnerability/august-2018-security-releases/
https://security.gentoo.org/glsa/201811-03
https://security.netapp.com/advisory/ntap-20181105-0001/
https://security.netapp.com/advisory/ntap-20190118-0002/
https://securityadvisories.paloaltonetworks.com/Home/Detail/133
https://usn.ubuntu.com/3692-1/
https://usn.ubuntu.com/3692-2/
https://www.debian.org/security/2018/dsa-4348
https://www.debian.org/security/2018/dsa-4355
https://www.openssl.org/news/secadv/20180612.txt
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.tenable.com/security/tns-2018-12
https://www.tenable.com/security/tns-2018-13
https://www.tenable.com/security/tns-2018-14
https://www.tenable.com/security/tns-2018-17

Идентификаторы других систем описаний уязвимостей

Прочая информация

-
Последние изменения