BDU:2019-01256: Уязвимость реализации алгоритма шифрования DSA (Digital Signature Algorithm) библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость реализации алгоритма шифрования DSA (Digital Signature Algorithm) библиотеки OpenSSL связана с ошибками управления криптографическими ключами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем восстановления закрытого ключа
Вендор Canonical Ltd., Oracle Corp., Red Hat Inc., ООО «РусБИТех-Астра», OpenSSL Software Foundation, Сообщество свободного программного обеспечения, Fedora Project, Node.js Foundation, Novell Inc., ООО «Открытая мобильная платформа»
Наименование ПО Ubuntu, API Gateway, Red Hat Enterprise Linux, Enterprise Manager Ops Center, VM VirtualBox, PeopleSoft Enterprise PeopleTools, MySQL, Astra Linux Special Edition (запись в едином реестре российских программ №369), Primavera P6 Enterprise Project Portfolio Management, OpenSSL, Debian GNU/Linux, Fedora, Enterprise Manager Base Platform, Node.js, Tuxedo, Application Server, MySQL Enterprise Backup, OpenSUSE Leap, JBoss Core Services, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Oracle Communications Session Border Controller, Oracle Enterprise Session Border Controller, Communications Unified Session Manager, Oracle Communications Session Router, Communications Diameter Signaling Router, ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО
  • 14.04 LTS (Ubuntu)
  • 11.1.2.4.0 (API Gateway)
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 12.3.3 (Enterprise Manager Ops Center)
  • 18.10 (Ubuntu)
  • до 5.2.24 (VM VirtualBox)
  • 8.55 (PeopleSoft Enterprise PeopleTools)
  • 8.56 (PeopleSoft Enterprise PeopleTools)
  • 8.57 (PeopleSoft Enterprise PeopleTools)
  • до 8.0.13 включительно (MySQL)
  • до 5.6.42 включительно (MySQL)
  • до 5.7.24 включительно (MySQL)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.4 (Primavera P6 Enterprise Project Portfolio Management)
  • 15.1 (Primavera P6 Enterprise Project Portfolio Management)
  • 15.2 (Primavera P6 Enterprise Project Portfolio Management)
  • 16.1 (Primavera P6 Enterprise Project Portfolio Management)
  • 16.2 (Primavera P6 Enterprise Project Portfolio Management)
  • 18.8 (Primavera P6 Enterprise Project Portfolio Management)
  • до 1.1.1 включительно (OpenSSL)
  • от 1.0.2 до 1.0.2p включительно (OpenSSL)
  • от 1.1.0 до 1.1.0i включительно (OpenSSL)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 29 (Fedora)
  • 13.2.0.0.0 (Enterprise Manager Base Platform)
  • 13.3.0.0.0 (Enterprise Manager Base Platform)
  • 12.1.0.5.0 (Enterprise Manager Base Platform)
  • 10 (Node.js)
  • 11 (Node.js)
  • 12.1.1 (Tuxedo)
  • 6 (Node.js)
  • 8 (Node.js)
  • от 17.7 до 17.12 включительно (Primavera P6 Enterprise Project Portfolio Management)
  • 0.9.8 (Application Server)
  • 1.0.0 (Application Server)
  • 1.0.1 (Application Server)
  • до 3.12.3 включительно (MySQL Enterprise Backup)
  • до 4.1.2 включительно (MySQL Enterprise Backup)
  • до 6.0.0 (VM VirtualBox)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • 31 (Fedora)
  • - (JBoss Core Services)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 8.0 (Oracle Communications Session Border Controller)
  • 8.1 (Oracle Communications Session Border Controller)
  • 8.2 (Oracle Communications Session Border Controller)
  • 8.3 (Oracle Communications Session Border Controller)
  • 7.5 (Oracle Enterprise Session Border Controller)
  • 8.0 (Oracle Enterprise Session Border Controller)
  • 8.1 (Oracle Enterprise Session Border Controller)
  • 8.2 (Oracle Enterprise Session Border Controller)
  • 8.3 (Oracle Enterprise Session Border Controller)
  • 7.3.5 (Communications Unified Session Manager)
  • 8.2.5 (Communications Unified Session Manager)
  • 7.4 (Oracle Communications Session Router)
  • 8.0 (Oracle Communications Session Router)
  • 8.1 (Oracle Communications Session Router)
  • 8.2 (Oracle Communications Session Router)
  • 8.3 (Oracle Communications Session Router)
  • 7.4 (Oracle Communications Session Border Controller)
  • 8.0 (Communications Diameter Signaling Router)
  • 8.1 (Communications Diameter Signaling Router)
  • 8.2 (Communications Diameter Signaling Router)
  • 8.3 (Communications Diameter Signaling Router)
  • 8.4 (Communications Diameter Signaling Router)
  • до 3.2.3.31 (ОС Аврора)
Тип ПО Операционная система, ПО программно-аппаратных средств защиты, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем, СУБД, Программное средство защиты, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Ошибки управления ключами
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 16.10.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для openssl:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=43e6a58d4991a451daf4891ff05a48735df871ac
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=8abfe72e8c1de1b95f50aa0d9134803b4d00070f
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ef11e19d1365eea2b1851e6f540a0bf365d303e7
https://www.openssl.org/news/secadv/20181030.txt

Для Debian:
Обновление программного обеспечения (пакета openssl) до 1.1.0j-1~deb9u1 или более поздней версии
Обновление программного обеспечения (пакета openssl1.0) до 1.0.2q-1~deb9u1 или более поздней версии

Для Node.js:
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/

Для Ubuntu:
https://usn.ubuntu.com/3840-1/

Для Debian:
https://www.debian.org/security/2018/dsa-4348
https://www.debian.org/security/2018/dsa-4355

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/security-alerts/cpujan2020.html

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
https://www.openssl.org/news/secadv/20181030.txt
https://nvd.nist.gov/vuln/detail/CVE-2018-0734
https://security-tracker.debian.org/tracker/CVE-2018-0734
http://www.securityfocus.com/bid/105758
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=43e6a58d4991a451daf4891ff05a48735df871ac
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=8abfe72e8c1de1b95f50aa0d9134803b4d00070f
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ef11e19d1365eea2b1851e6f540a0bf365d303e7
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/
https://security.netapp.com/advisory/ntap-20181105-0002/
https://security.netapp.com/advisory/ntap-20190118-0002/
https://security.netapp.com/advisory/ntap-20190423-0002/
https://usn.ubuntu.com/3840-1/
https://www.debian.org/security/2018/dsa-4348
https://www.debian.org/security/2018/dsa-4355
https://www.openssl.org/news/secadv/20181030.txt
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.tenable.com/security/tns-2018-16
https://www.tenable.com/security/tns-2018-17
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://cve.omprussia.ru/bb4321
https://cve.omprussia.ru/bb5322
https://cve.omprussia.ru/bb6323
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения