BDU:2020-01598: Уязвимость реализации механизма HMAC-SHA-256 криптографической библиотеки GnuTLS, позволяющая нарушителю осуществить атаку типа «Lucky 13» и атаку с восстановлением открытого текста

Описание уязвимости Уязвимость реализации механизма HMAC-SHA-256 криптографической библиотеки GnuTLS связана с ошибками в реализации криптографического алгоритма. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить атаку типа «Lucky 13» и атаку с восстановлением открытого текста с помощью специально созданных пакетов
Вендор Red Hat Inc., Canonical Ltd., Novell Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Free Software Foundation, Inc.
Наименование ПО Red Hat Enterprise Linux, Ubuntu, OpenSUSE Leap, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), GnuTLS
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 42.3 (OpenSUSE Leap)
  • 18.04 LTS (Ubuntu)
  • 18.10 (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 19.04 (Ubuntu)
  • 15.0 (OpenSUSE Leap)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • - (GnuTLS)
Тип ПО Операционная система, Программное средство защиты
Операционные системы и аппаратные платформы
Тип ошибки Использование криптографических алгоритмов, содержащих дефекты или риски, Скрытый временной канал
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 11.08.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для GnuTLS:
Обновление библиотеки GnuTLS до более новой версии

Для Ubuntu:
https://usn.ubuntu.com/3999-1/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-10844/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/10/msg00022.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:3624

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения