BDU:2019-04082: Уязвимость функций CMS_decrypt и PKCS7_decrypt ( cms_env.c, cms_smime.c и pk7_doit.c) библиотеки OpenSSL,связанная с недостатками механизма шифрования секретных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость функций CMS_decrypt и PKCS7_decrypt ( cms_env.c, cms_smime.c и pk7_doit.c) библиотеки OpenSSL связана с недостатками механизма шифрования секретных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Вендор ООО «РусБИТех-Астра», Oracle Corp., Novell Inc., Сообщество свободного программного обеспечения, Fedora Project, OpenSSL Software Foundation, ООО «Ред Софт», АО «Концерн ВНИИНС», ООО «Открытая мобильная платформа»
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Enterprise Manager Ops Center, PeopleSoft Enterprise PeopleTools, Suse Linux Enterprise Desktop, SUSE Enterprise Storage, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, SUSE OpenStack Cloud, Debian GNU/Linux, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Suse Linux Enterprise Server, Fedora, Business Intelligence Enterprise Edition, Oracle Secure Global Desktop, Agile Engineering Data Management, Enterprise Communications Broker, SUSE Linux Enterprise Module for Basesystem, OpenSUSE Leap, SUSE CaaS Platform, SUSE Linux Enterprise Point of Sale, SUSE Linux Enterprise Module for Legacy Software, SUSE OpenStack Cloud Crowbar, OpenSSL, HPE Helion Openstack, VM VirtualBox, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Sun ZFS Storage Appliance Kit, Oracle Communications Session Border Controller, Oracle Enterprise Session Border Controller, Communications Unified Session Manager, Oracle Communications Session Router, Communications Diameter Signaling Router, MySQL Workbench, MySQL Connectors, MySQL Enterprise Backup, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 12.3.3 (Enterprise Manager Ops Center)
  • 8.56 (PeopleSoft Enterprise PeopleTools)
  • 8.57 (PeopleSoft Enterprise PeopleTools)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 12 SP4 (Suse Linux Enterprise Desktop)
  • 4 (SUSE Enterprise Storage)
  • 12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 7 (SUSE OpenStack Cloud)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 29 (Fedora)
  • 11.1.1.9.0 (Business Intelligence Enterprise Edition)
  • 12.2.1.3.0 (Business Intelligence Enterprise Edition)
  • 12.2.1.4.0 (Business Intelligence Enterprise Edition)
  • 5.4 (Oracle Secure Global Desktop)
  • 6.2.1 (Agile Engineering Data Management)
  • PCz3.0 (Enterprise Communications Broker)
  • 15 (SUSE Linux Enterprise Module for Basesystem)
  • 15 SP1 (SUSE Linux Enterprise Module for Basesystem)
  • 15.0 (OpenSUSE Leap)
  • 3.0 (SUSE CaaS Platform)
  • 5 (SUSE Enterprise Storage)
  • 12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 12 SP2-ESPOS (Suse Linux Enterprise Server)
  • 15 SP1 (SUSE Linux Enterprise Module for Legacy Software)
  • 15 (SUSE Linux Enterprise Module for Legacy Software)
  • 11 SP3 (SUSE Linux Enterprise Point of Sale)
  • 11 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 15.1 (OpenSUSE Leap)
  • 11 SP4-LTSS (Suse Linux Enterprise Server)
  • 12 SP1-LTSS (Suse Linux Enterprise Server)
  • 12 SP2-LTSS (Suse Linux Enterprise Server)
  • 30 (Fedora)
  • 12 SP3-LTSS (Suse Linux Enterprise Server)
  • 10.0 (Debian GNU/Linux)
  • 8 (SUSE OpenStack Cloud)
  • 12 SP3-BCL (Suse Linux Enterprise Server)
  • 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 8 (SUSE OpenStack Cloud Crowbar)
  • 12.4.0 (Enterprise Manager Ops Center)
  • 12 (SUSE Linux Enterprise Module for Legacy Software)
  • 11-SECURITY (Suse Linux Enterprise Server)
  • 11-SECURITY (SUSE Linux Enterprise Server for SAP Applications)
  • от 1.0.2 до 1.0.2s включительно (OpenSSL)
  • от 1.1.0 до 1.1.0k включительно (OpenSSL)
  • от 1.1.1 до 1.1.1c включительно (OpenSSL)
  • 6 (SUSE Enterprise Storage)
  • 8 (HPE Helion Openstack)
  • до 5.2.34 (VM VirtualBox)
  • до 6.0.14 (VM VirtualBox)
  • 12 SP3-ESPOS (Suse Linux Enterprise Server)
  • 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • до 7.2 Муром (РЕД ОС)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 8.8.6 (Sun ZFS Storage Appliance Kit)
  • PCz3.1 (Enterprise Communications Broker)
  • PCz3.2 (Enterprise Communications Broker)
  • 8.0 (Oracle Communications Session Border Controller)
  • 8.1 (Oracle Communications Session Border Controller)
  • 8.2 (Oracle Communications Session Border Controller)
  • 8.3 (Oracle Communications Session Border Controller)
  • 7.5 (Oracle Enterprise Session Border Controller)
  • 8.0 (Oracle Enterprise Session Border Controller)
  • 8.1 (Oracle Enterprise Session Border Controller)
  • 8.2 (Oracle Enterprise Session Border Controller)
  • 8.3 (Oracle Enterprise Session Border Controller)
  • 7.3.5 (Communications Unified Session Manager)
  • 8.2.5 (Communications Unified Session Manager)
  • 7.4 (Oracle Communications Session Router)
  • 8.0 (Oracle Communications Session Router)
  • 8.1 (Oracle Communications Session Router)
  • 8.2 (Oracle Communications Session Router)
  • 8.3 (Oracle Communications Session Router)
  • 7.4 (Oracle Communications Session Border Controller)
  • 8.0 (Communications Diameter Signaling Router)
  • 8.1 (Communications Diameter Signaling Router)
  • 8.2 (Communications Diameter Signaling Router)
  • 8.3 (Communications Diameter Signaling Router)
  • 8.4 (Communications Diameter Signaling Router)
  • до 8.0.17 включительно (MySQL Workbench)
  • 5.5 (Oracle Secure Global Desktop)
  • до 5.3.13 включительно (MySQL Connectors)
  • до 8.0.18 включительно (MySQL Connectors)
  • до 3.12.4 включительно (MySQL Enterprise Backup)
  • до 4.1.3 включительно (MySQL Enterprise Backup)
  • 1.0 (ОС ОН «Стрелец»)
  • до 3.2.3.31 (ОС Аврора)
  • 1.7 (Astra Linux Special Edition)
Тип ПО Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем, ПО виртуализации/ПО виртуального программно-аппаратного средства, Программное средство защиты, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Непринятие мер по шифрованию секретных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 10.09.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
Для программных продуктов OpenSSL:
https://www.openssl.org/news/secadv/20190910.txt

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-1563

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GY6SNRJP2S7Y42GIIDO3HXPNMDYN2U3A/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Novell Inc:
https://www.suse.com/security/cve/CVE-2019-1563/

Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения