BDU:2020-00300: Уязвимость функции PA-RISC CRYPTO_memcmp библиотеки OpenSSL, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным

Описание уязвимости Уязвимость функции PA-RISC CRYPTO_memcmp библиотеки OpenSSL связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Вендор Red Hat Inc., Oracle Corp., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., OpenSSL Software Foundation, Fedora Project, ООО «Открытая мобильная платформа», АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, PeopleSoft Enterprise PeopleTools, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, JBoss Core Services, OpenSSL, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Fedora, MySQL Enterprise Monitor, Enterprise Manager Ops Center, JD Edwards EnterpriseOne Tools, ОС Аврора (запись в едином реестре российских программ №1543), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 8.56 (PeopleSoft Enterprise PeopleTools)
  • 8.57 (PeopleSoft Enterprise PeopleTools)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 8 (Red Hat Enterprise Linux)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • - (JBoss Core Services)
  • от 1.0.2 до 1.0.2t включительно (OpenSSL)
  • от 1.1.1 до 1.1.1d включительно (OpenSSL)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 32 (Fedora)
  • 8.58 (PeopleSoft Enterprise PeopleTools)
  • до 4.0.12 включительно (MySQL Enterprise Monitor)
  • до 8.0.20 включительно (MySQL Enterprise Monitor)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • до 9.2.5.0 (JD Edwards EnterpriseOne Tools)
  • до 3.2.3.31 (ОС Аврора)
  • до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, Программное средство защиты, Сетевое программное средство, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Раскрытие информации
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 06.12.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для openssl:
Обновление библиотеки OpenSSL до версии 1.1.1e-dev, 1.0.2u-dev или новее

Для Debian:
Обновление программного обеспечения (пакета openssl1.0) до 1.0.2u-1~deb9u1 или более поздней версии

Для Astra:
Обновление программного обеспечения (пакета openssl1.0) до 1.0.2u-1~deb9u1 или более поздней версии
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-1551

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00030.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XVEP3LAK4JSPRXFO4QF4GG2IVXADV3SO/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323

Для ОСОН Основа:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u6
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения