Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-04082: Уязвимость функций CMS_decrypt и PKCS7_decrypt ( cms_env.c, cms_smime.c и pk7_doit.c) библиотеки OpenSSL,связанная с недостатками механизма шифрования секретных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость функций CMS_decrypt и PKCS7_decrypt ( cms_env.c, cms_smime.c и pk7_doit.c) библиотеки OpenSSL связана с недостатками механизма шифрования секретных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Oracle Corp., Novell Inc., Fedora Project, OpenSSL Software Foundation, ООО «Ред Софт», АО «Концерн ВНИИНС», ООО «Открытая мобильная платформа»
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Enterprise Manager Ops Center, PeopleSoft Enterprise PeopleTools, Suse Linux Enterprise Desktop, SUSE Enterprise Storage, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, SUSE OpenStack Cloud, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Suse Linux Enterprise Server, Fedora, Business Intelligence Enterprise Edition, Oracle Secure Global Desktop, Agile Engineering Data Management, Enterprise Communications Broker, SUSE Linux Enterprise Module for Basesystem, OpenSUSE Leap, SUSE CaaS Platform, SUSE Linux Enterprise Point of Sale, SUSE Linux Enterprise Module for Legacy Software, SUSE OpenStack Cloud Crowbar, OpenSSL, HPE Helion Openstack, VM VirtualBox, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Sun ZFS Storage Appliance Kit, Oracle Communications Session Border Controller, Oracle Enterprise Session Border Controller, Communications Unified Session Manager, Oracle Communications Session Router, Communications Diameter Signaling Router, MySQL Workbench, MySQL Connectors, MySQL Enterprise Backup, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО	1.5 «Смоленск» (Astra Linux Special Edition) 9 (Debian GNU/Linux) 12.3.3 (Enterprise Manager Ops Center) 8.56 (PeopleSoft Enterprise PeopleTools) 8.57 (PeopleSoft Enterprise PeopleTools) 1.6 «Смоленск» (Astra Linux Special Edition) 12 SP4 (Suse Linux Enterprise Desktop) 4 (SUSE Enterprise Storage) 12 SP2 (SUSE Linux Enterprise Server for SAP Applications) 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications) 12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications) 12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Software Development Kit) 7 (SUSE OpenStack Cloud) 8.0 (Debian GNU/Linux) 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools) 12 SP4 (Suse Linux Enterprise Server) 29 (Fedora) 11.1.1.9.0 (Business Intelligence Enterprise Edition) 12.2.1.3.0 (Business Intelligence Enterprise Edition) 12.2.1.4.0 (Business Intelligence Enterprise Edition) 5.4 (Oracle Secure Global Desktop) 6.2.1 (Agile Engineering Data Management) PCz3.0 (Enterprise Communications Broker) 15 (SUSE Linux Enterprise Module for Basesystem) 15 SP1 (SUSE Linux Enterprise Module for Basesystem) 15.0 (OpenSUSE Leap) 3.0 (SUSE CaaS Platform) 5 (SUSE Enterprise Storage) 12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale) 12 SP2-BCL (Suse Linux Enterprise Server) 12 SP2-ESPOS (Suse Linux Enterprise Server) 15 SP1 (SUSE Linux Enterprise Module for Legacy Software) 15 (SUSE Linux Enterprise Module for Legacy Software) 11 SP3 (SUSE Linux Enterprise Point of Sale) 11 SP4 (SUSE Linux Enterprise Server for SAP Applications) 12 SP1 (SUSE Linux Enterprise Server for SAP Applications) 12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools) 15.1 (OpenSUSE Leap) 11 SP4-LTSS (Suse Linux Enterprise Server) 12 SP1-LTSS (Suse Linux Enterprise Server) 12 SP2-LTSS (Suse Linux Enterprise Server) 30 (Fedora) 12 SP3-LTSS (Suse Linux Enterprise Server) 8 (SUSE OpenStack Cloud) 12 SP3-BCL (Suse Linux Enterprise Server) 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications) 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications) 8 (SUSE OpenStack Cloud Crowbar) 12.4.0 (Enterprise Manager Ops Center) 12 (SUSE Linux Enterprise Module for Legacy Software) 11-SECURITY (Suse Linux Enterprise Server) 11-SECURITY (SUSE Linux Enterprise Server for SAP Applications) от 1.0.2 до 1.0.2s включительно (OpenSSL) от 1.1.0 до 1.1.0k включительно (OpenSSL) от 1.1.1 до 1.1.1c включительно (OpenSSL) 10 (Debian GNU/Linux) 6 (SUSE Enterprise Storage) 8 (HPE Helion Openstack) до 5.2.34 (VM VirtualBox) до 6.0.14 (VM VirtualBox) 12 SP3-ESPOS (Suse Linux Enterprise Server) 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications) до 7.2 Муром (РЕД ОС) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 8.8.6 (Sun ZFS Storage Appliance Kit) PCz3.1 (Enterprise Communications Broker) PCz3.2 (Enterprise Communications Broker) 8.0 (Oracle Communications Session Border Controller) 8.1 (Oracle Communications Session Border Controller) 8.2 (Oracle Communications Session Border Controller) 8.3 (Oracle Communications Session Border Controller) 7.5 (Oracle Enterprise Session Border Controller) 8.0 (Oracle Enterprise Session Border Controller) 8.1 (Oracle Enterprise Session Border Controller) 8.2 (Oracle Enterprise Session Border Controller) 8.3 (Oracle Enterprise Session Border Controller) 7.3.5 (Communications Unified Session Manager) 8.2.5 (Communications Unified Session Manager) 7.4 (Oracle Communications Session Router) 8.0 (Oracle Communications Session Router) 8.1 (Oracle Communications Session Router) 8.2 (Oracle Communications Session Router) 8.3 (Oracle Communications Session Router) 7.4 (Oracle Communications Session Border Controller) 8.0 (Communications Diameter Signaling Router) 8.1 (Communications Diameter Signaling Router) 8.2 (Communications Diameter Signaling Router) 8.3 (Communications Diameter Signaling Router) 8.4 (Communications Diameter Signaling Router) до 8.0.17 включительно (MySQL Workbench) 5.5 (Oracle Secure Global Desktop) до 5.3.13 включительно (MySQL Connectors) до 8.0.18 включительно (MySQL Connectors) до 3.12.4 включительно (MySQL Enterprise Backup) до 4.1.3 включительно (MySQL Enterprise Backup) 1.0 (ОС ОН «Стрелец») до 3.2.3.31 (ОС Аврора) 1.7 (Astra Linux Special Edition) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем, ПО виртуализации/ПО виртуального программно-аппаратного средства, Программное средство защиты, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Novell Inc. Suse Linux Enterprise Desktop 12 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Novell Inc. Suse Linux Enterprise Server 12 SP4 Fedora Project Fedora 29 Novell Inc. OpenSUSE Leap 15.0 Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS Novell Inc. OpenSUSE Leap 15.1 Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS Fedora Project Fedora 30 Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 11-SECURITY Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11-SECURITY Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-ESPOS ООО «Ред Софт» РЕД ОС до 7.2 Муром (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 INOI R7 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 Aquarius CMP NS220 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 Byterg MVK-2020 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 F+ Life Tab Plus (запись в едином реестре российских программ №1543) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Непринятие мер по шифрованию секретных данных
Идентификатор типа ошибки	CWE-311
Класс уязвимости	Уязвимость архитектуры
Дата выявления	10.09.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости	Использование рекомендаций производителя: Для программных продуктов OpenSSL: https://www.openssl.org/news/secadv/20190910.txt Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2019-1563 Для программных продуктов Fedora Project: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GY6SNRJP2S7Y42GIIDO3HXPNMDYN2U3A/ Для программных продуктов Oracle: https://www.oracle.com/security-alerts/cpuoct2019.html https://www.oracle.com/security-alerts/cpujul2020.html Для программных продуктов Novell Inc: https://www.suse.com/security/cve/CVE-2019-1563/ Для РЕД ОС: Обновление операционной системы до версии 7.2 Муром Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb4321 Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb5322 Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb6323 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОС ОН «Стрелец»: Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7 Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html https://nvd.nist.gov/vuln/detail/CVE-2019-1563 https://www.openssl.org/news/secadv/20190910.txt https://security-tracker.debian.org/tracker/CVE-2019-1563 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GY6SNRJP2S7Y42GIIDO3HXPNMDYN2U3A/ https://www.suse.com/security/cve/CVE-2019-1563/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81 https://www.oracle.com/security-alerts/cpujul2020.html https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://cve.omprussia.ru/bb4321 https://cve.omprussia.ru/bb5322 https://cve.omprussia.ru/bb6323 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-1563
Прочая информация	Данные уточняются

Последние изменения