BDU:2019-00186: Уязвимость библиотеки OpenSSL, связанная с ошибками обработки криптографических ключей при использовании протокола DH (E), позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость библиотеки OpenSSL связана с ошибками обработки криптографических ключей при использовании протокола DH (E). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Oracle Corp., Red Hat Inc., Novell Inc., OpenSSL Software Foundation, Сообщество свободного программного обеспечения, Fedora Project, Node.js Foundation, IBM Corp., ООО «Ред Софт», Juniper Networks Inc., ООО «Открытая мобильная платформа»
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), API Gateway, Red Hat Enterprise Linux, OpenSUSE Leap, Enterprise Manager Ops Center, JD Edwards EnterpriseOne Tools, VM VirtualBox, Tuxedo, PeopleSoft Enterprise PeopleTools, OpenSSL, Primavera P6 Enterprise Project Portfolio Management, Suse Linux Enterprise Desktop, SUSE Enterprise Storage, SUSE Linux Enterprise Software Development Kit, SUSE OpenStack Cloud, Debian GNU/Linux, Suse Linux Enterprise Server, Fedora, Node.js, SUSE Linux Enterprise Module for Web Scripting, Communications WebRTC Session Controller, Communications Application Session Controller, Agile Engineering Data Management, Enterprise Manager Base Platform, Endeca Server, Communications EAGLE LNP Application Processor, Communications Operations Monitor, Communications Session Border Controller, Communications Unified Session Manager, Enterprise Communications Broker, Enterprise Session Border Controller, JD Edwards World Security, MySQL Workbench, OSS Support Tools, SUSE Linux Enterprise Module for Basesystem, SUSE Studio Onsite, SUSE Linux Enterprise Point of Sale, SUSE CaaS Platform, SUSE Linux Enterprise Module for Legacy Software, OpenStack Cloud Magnum Orchestration, Fujitsu M10-1, Fujitsu M10-4, Fujitsu M10-4S, Fujitsu M12-1, Fujitsu M12-2, Fujitsu M12-2S, JBoss Core Services, РЕД ОС (запись в едином реестре российских программ №3751), SUSE Linux Enterprise High Performance Computing, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Communications Performance Intelligence Center (PIC) Software, Junos Space, ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО
  • 14.04 LTS (Ubuntu)
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 11.1.2.4.0 (API Gateway)
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 42.3 (OpenSUSE Leap)
  • 17.10 (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 12.2.2 (Enterprise Manager Ops Center)
  • 12.3.3 (Enterprise Manager Ops Center)
  • 9.2 (JD Edwards EnterpriseOne Tools)
  • до 5.2.20 (VM VirtualBox)
  • 12.1.1.0 (Tuxedo)
  • 8.55 (PeopleSoft Enterprise PeopleTools)
  • 8.56 (PeopleSoft Enterprise PeopleTools)
  • 8.57 (PeopleSoft Enterprise PeopleTools)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • от 1.0.2 включительно до 1.0.2o включительно (OpenSSL)
  • от 1.1.0 включительно до 1.1.0h включительно (OpenSSL)
  • 8.4 (Primavera P6 Enterprise Project Portfolio Management)
  • 15.1 (Primavera P6 Enterprise Project Portfolio Management)
  • 15.2 (Primavera P6 Enterprise Project Portfolio Management)
  • 16.1 (Primavera P6 Enterprise Project Portfolio Management)
  • 16.2 (Primavera P6 Enterprise Project Portfolio Management)
  • 18.8 (Primavera P6 Enterprise Project Portfolio Management)
  • от 17.7 до 17.12 (Primavera P6 Enterprise Project Portfolio Management)
  • 12 SP3 (Suse Linux Enterprise Desktop)
  • 12 SP4 (Suse Linux Enterprise Desktop)
  • 4 (SUSE Enterprise Storage)
  • 12 SP3 (SUSE Linux Enterprise Software Development Kit)
  • 12 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 7 (SUSE OpenStack Cloud)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12 SP3 (Suse Linux Enterprise Server)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 11 SP3 LTSS (Suse Linux Enterprise Server)
  • 11 SP4 (Suse Linux Enterprise Server)
  • 11 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 29 (Fedora)
  • 12.04 ESM (Ubuntu)
  • 10 (Node.js)
  • 11 (Node.js)
  • 12 (SUSE Linux Enterprise Module for Web Scripting)
  • до 7.2 (Communications WebRTC Session Controller)
  • 3.7.1 (Communications Application Session Controller)
  • 3.8.0 (Communications Application Session Controller)
  • 6.1.3 (Agile Engineering Data Management)
  • 6.2.0 (Agile Engineering Data Management)
  • 6.2.1 (Agile Engineering Data Management)
  • 12.1.0.5 (Enterprise Manager Base Platform)
  • 7.7.0 (Endeca Server)
  • 6 (Node.js)
  • 8 (Node.js)
  • 10.0 (Communications EAGLE LNP Application Processor)
  • 10.1 (Communications EAGLE LNP Application Processor)
  • 10.2 (Communications EAGLE LNP Application Processor)
  • 3.4 (Communications Operations Monitor)
  • 4.0 (Communications Operations Monitor)
  • SCz7.4.0 (Communications Session Border Controller)
  • SCz7.4.1 (Communications Session Border Controller)
  • SCz8.0.0 (Communications Session Border Controller)
  • SCz8.1.0 (Communications Session Border Controller)
  • SCz7.3.5 (Communications Unified Session Manager)
  • PCz2.1 (Enterprise Communications Broker)
  • PCz2.2 (Enterprise Communications Broker)
  • PCz3.0 (Enterprise Communications Broker)
  • ECz7.4.0 (Enterprise Session Border Controller)
  • ECz7.5.0 (Enterprise Session Border Controller)
  • ECz8.0.0 (Enterprise Session Border Controller)
  • ECz8.1.0 (Enterprise Session Border Controller)
  • 13.2.0 (Enterprise Manager Base Platform)
  • 13.3.0 (Enterprise Manager Base Platform)
  • A9.3 (JD Edwards World Security)
  • A9.3.1 (JD Edwards World Security)
  • A9.4 (JD Edwards World Security)
  • до 8.0.13 включительно (MySQL Workbench)
  • до 19.1 (OSS Support Tools)
  • 15 (SUSE Linux Enterprise Module for Basesystem)
  • 15 SP1 (SUSE Linux Enterprise Module for Basesystem)
  • 15.0 (OpenSUSE Leap)
  • 1.3 (SUSE Studio Onsite)
  • 12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 12 SP2-ESPOS (Suse Linux Enterprise Server)
  • - (SUSE CaaS Platform)
  • 15 SP1 (SUSE Linux Enterprise Module for Legacy Software)
  • 15 (SUSE Linux Enterprise Module for Legacy Software)
  • 11 SP3 (SUSE Linux Enterprise Point of Sale)
  • 12-LTSS (Suse Linux Enterprise Server)
  • 11 SP4-LTSS (Suse Linux Enterprise Server)
  • 12 SP1-LTSS (Suse Linux Enterprise Server)
  • 12 SP2-LTSS (Suse Linux Enterprise Server)
  • 30 (Fedora)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP5 (SUSE Linux Enterprise Software Development Kit)
  • jessie (Debian GNU/Linux)
  • stretch (Debian GNU/Linux)
  • 15 (SUSE Linux Enterprise Module for Web Scripting)
  • 15 SP1 (SUSE Linux Enterprise Module for Web Scripting)
  • Crowbar 8 (SUSE OpenStack Cloud)
  • 7 (OpenStack Cloud Magnum Orchestration)
  • 12 (SUSE Linux Enterprise Module for Legacy Software)
  • 11-SECURITY (Suse Linux Enterprise Server)
  • 31 (Fedora)
  • 12 SP2 (Suse Linux Enterprise Server)
  • до XCP2361 (Fujitsu M10-1)
  • до XCP3070 (Fujitsu M10-1)
  • до XCP2361 (Fujitsu M10-4)
  • до XCP3070 (Fujitsu M10-4)
  • до XCP2361 (Fujitsu M10-4S)
  • до XCP3070 (Fujitsu M10-4S)
  • до XCP2361 (Fujitsu M12-1)
  • до XCP3070 (Fujitsu M12-1)
  • до XCP3070 (Fujitsu M12-2)
  • до XCP2361 (Fujitsu M12-2)
  • до XCP2361 (Fujitsu M12-2S)
  • до XCP3070 (Fujitsu M12-2S)
  • - (JBoss Core Services)
  • до 7.2 Муром (РЕД ОС)
  • 12 SP5 (SUSE Linux Enterprise High Performance Computing)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 12 SP1 (Suse Linux Enterprise Server)
  • 10.4.0.2 (Communications Performance Intelligence Center (PIC) Software)
  • до 21.1R1 (Junos Space)
  • до 3.2.3.31 (ОС Аврора)
Тип ПО Операционная система, ПО программно-аппаратных средств защиты, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем, Программное средство защиты, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Ошибки управления ключами, Отсутствие необходимого этапа шифрования
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 12.06.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20180612.txt

Для программных продуктов Oracle:
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://www.oracle.com/security-alerts/cpuoct2019.html
https://www.oracle.com/security-alerts/cpuapr2019.html
https://www.oracle.com/security-alerts/cpujan2019.html
https://www.oracle.com/security-alerts/cpujul2019.html
https://www.oracle.com/security-alerts/cpuoct2018.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для Debian:
https://lists.debian.org/debian-lts-announce/2018/07/msg00043.html
https://www.debian.org/security/2018/dsa-4348
https://www.debian.org/security/2018/dsa-4355

Для Ubuntu:
https://usn.ubuntu.com/3692-1/
https://usn.ubuntu.com/3692-2/

Для Red Hat:
https://access.redhat.com/security/cve/CVE-2018-0732

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Y3IVFGSERAZLNJCK35TEM2R4726XIH3Z/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZBEV5QGDRFUZDMNECFXUSN5FMYOZDE4V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EWC42UXL5GHTU5G77VKBF6JYUUNGSHOM/

Для Astra Linux:
Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u9 или более поздней версии
Обновление программного обеспечения (пакета openssl) до 1.0.2q-1~deb9u1 или более поздней версии

Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-0732/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323

Для продуктов Juniper Networks :
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11176&cat=SIRT_1&actp=LIST&showDraft=false
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://www.openssl.org/news/secadv/20180612.txt
http://www.securityfocus.com/bid/104442
http://www.securitytracker.com/id/1041090
https://access.redhat.com/errata/RHSA-2018:2552
https://access.redhat.com/errata/RHSA-2018:2553
https://access.redhat.com/errata/RHSA-2018:3221
https://access.redhat.com/errata/RHSA-2018:3505
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3984ef0b72831da8b3ece4745cac4f8575b19098
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ea7abeeabf92b7aca160bdd0208636d4da69f4f4
https://lists.debian.org/debian-lts-announce/2018/07/msg00043.html
https://nodejs.org/en/blog/vulnerability/august-2018-security-releases/
https://security.gentoo.org/glsa/201811-03
https://security.netapp.com/advisory/ntap-20181105-0001/
https://security.netapp.com/advisory/ntap-20190118-0002/
https://securityadvisories.paloaltonetworks.com/Home/Detail/133
https://usn.ubuntu.com/3692-1/
https://usn.ubuntu.com/3692-2/
https://www.debian.org/security/2018/dsa-4348
https://www.debian.org/security/2018/dsa-4355
https://www.openssl.org/news/secadv/20180612.txt
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.tenable.com/security/tns-2018-12
https://www.tenable.com/security/tns-2018-13
https://www.tenable.com/security/tns-2018-14
https://www.tenable.com/security/tns-2018-17
https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483
https://wiki.astralinux.ru/pages/viewpage.action?pageId=67111271
https://www.suse.com/security/cve/CVE-2018-0732/
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://cve.omprussia.ru/bb4321
https://cve.omprussia.ru/bb5322
https://cve.omprussia.ru/bb6323
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения