BDU:2020-02907: Уязвимость реализации алгоритма умножения Монтгомери библиотеки OpenSSL, связанная с ошибкой управления ключами , позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость реализации алгоритма умножения Монтгомери библиотеки OpenSSL связана с ошибкой управления ключами. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор Novell Inc., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», OpenSSL Software Foundation, Red Hat Inc., ООО «Юбитех»
Наименование ПО OpenSUSE Leap, Suse Linux Enterprise Desktop, SUSE Enterprise Storage, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE Linux Enterprise Module for Web Scripting, Astra Linux Common Edition (запись в едином реестре российских программ №4433), SUSE Linux Enterprise Module for Basesystem, SUSE Linux Enterprise Module for Legacy Software, SUSE Linux Enterprise High Performance Computing, OpenSSL, SUSE Linux Enterprise Module for Containers, JBoss Enterprise Application Platform, Red Hat JBoss Enterprise Web Server, UBLinux (запись в едином реестре российских программ №6874)
Версия ПО
  • 42.1 (OpenSUSE Leap)
  • 42.2 (OpenSUSE Leap)
  • 42.3 (OpenSUSE Leap)
  • 12 SP3 (Suse Linux Enterprise Desktop)
  • 12 SP4 (Suse Linux Enterprise Desktop)
  • 4 (SUSE Enterprise Storage)
  • 12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Software Development Kit)
  • 12 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12 SP3 (Suse Linux Enterprise Server)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 12 (SUSE Linux Enterprise Module for Web Scripting)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 15 (SUSE Linux Enterprise Module for Basesystem)
  • 15 SP1 (SUSE Linux Enterprise Module for Basesystem)
  • 15.0 (OpenSUSE Leap)
  • 15 SP1 (SUSE Linux Enterprise Module for Legacy Software)
  • 15 (SUSE Linux Enterprise Module for Legacy Software)
  • 10.0 (Debian GNU/Linux)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP5 (SUSE Linux Enterprise Software Development Kit)
  • 12 SP2 (Suse Linux Enterprise Desktop)
  • 12 SP2 (Suse Linux Enterprise Server)
  • 12 SP2 (SUSE Linux Enterprise Software Development Kit)
  • 12 SP5 (SUSE Linux Enterprise High Performance Computing)
  • до 1.1.0b включительно (OpenSSL)
  • от 1.0.2 до 1.0.2k (OpenSSL)
  • от 1.1.0 до 1.1.0c (OpenSSL)
  • 12 (SUSE Linux Enterprise Module for Containers)
  • 6 (JBoss Enterprise Application Platform)
  • 2 (Red Hat JBoss Enterprise Web Server)
  • до 21.1 (UBLinux)
Тип ПО Операционная система, Прикладное ПО информационных систем, Программное средство защиты
Операционные системы и аппаратные платформы
  • Novell Inc. OpenSUSE Leap 42.1 32-bit
  • Novell Inc. OpenSUSE Leap 42.2
  • Novell Inc. OpenSUSE Leap 42.3
  • Novell Inc. OpenSUSE Leap 42.1
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP3
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP4
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Novell Inc. Suse Linux Enterprise Server 12 SP3
  • Novell Inc. Suse Linux Enterprise Server 12 SP4
  • ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433)
  • Novell Inc. OpenSUSE Leap 15.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Novell Inc. Suse Linux Enterprise Server 12 SP5
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP2
  • Novell Inc. Suse Linux Enterprise Server 12 SP2
  • ООО «Юбитех» UBLinux до 21.1 (запись в едином реестре российских программ №6874)
Тип ошибки Ошибки управления ключами
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 04.05.2017
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для openssl:
Обновление программного обеспечения до 1.0.1t-1+deb8u8 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u8 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u8 или более поздней версии

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2016-7055/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2016-7055

Для UBLinux:
https://www.openssl.org/news/secadv/20161110.txt
https://github.com/openssl/openssl/commit/57c4b9f6a2f800b41ce2836986fe33640f6c3f8a
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения