Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-00872: Уязвимость функции GENERAL_NAME_cmp библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции GENERAL_NAME_cmp библиотеки OpenSSL связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор	Oracle Corp., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., Fedora Project, OpenSSL Software Foundation, АО «Концерн ВНИИНС», АО "НППКТ"
Наименование ПО	API Gateway, Debian GNU/Linux, PeopleSoft Enterprise PeopleTools, Astra Linux Special Edition (запись в едином реестре российских программ №369), Business Intelligence Enterprise Edition, Astra Linux Common Edition (запись в едином реестре российских программ №4433), JD Edwards World Security, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Enterprise Communications Broker, Fedora, Enterprise Manager Ops Center, MySQL Server, MySQL Workbench, GraalVM Enterprise Edition, OpenSSL, JD Edwards EnterpriseOne Tools, Oracle Communications Session Border Controller, Oracle Communications Session Router, Oracle Communications Subscriber-Aware Load Balancer, Communications Unified Session Manager, Oracle Enterprise Session Border Controller, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	11.1.2.4.0 (API Gateway) 9 (Debian GNU/Linux) 8.56 (PeopleSoft Enterprise PeopleTools) 8.57 (PeopleSoft Enterprise PeopleTools) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 12.2.1.3.0 (Business Intelligence Enterprise Edition) 12.2.1.4.0 (Business Intelligence Enterprise Edition) 2.12 «Орёл» (Astra Linux Common Edition) A9.4 (JD Edwards World Security) 15.1 (OpenSUSE Leap) 10 (Debian GNU/Linux) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») PCz3.1 (Enterprise Communications Broker) PCz3.2 (Enterprise Communications Broker) 32 (Fedora) 8.58 (PeopleSoft Enterprise PeopleTools) 5.5.0.0.0 (Business Intelligence Enterprise Edition) 15.2 (OpenSUSE Leap) 12.4.0.0 (Enterprise Manager Ops Center) 33 (Fedora) до 5.7.32 включительно (MySQL Server) до 8.0.22 включительно (MySQL Workbench) 19.3.4 (GraalVM Enterprise Edition) 20.3.0 (GraalVM Enterprise Edition) от 1.1.1до 1.1.1h (OpenSSL) от 1.0.2 до 1.0.2w (OpenSSL) до 9.2.5.3 (JD Edwards EnterpriseOne Tools) Cz8.2 (Oracle Communications Session Border Controller) Cz8.3 (Oracle Communications Session Border Controller) Cz8.4 (Oracle Communications Session Border Controller) Cz8.2 (Oracle Communications Session Router) Cz8.3 (Oracle Communications Session Router) Cz8.4 (Oracle Communications Session Router) Cz8.2 (Oracle Communications Subscriber-Aware Load Balancer) Cz8.3 (Oracle Communications Subscriber-Aware Load Balancer) Cz8.4 (Oracle Communications Subscriber-Aware Load Balancer) SCz8.2.5 (Communications Unified Session Manager) PCz3.3 (Enterprise Communications Broker) Cz8.2 (Oracle Enterprise Session Border Controller) Cz8.3 (Oracle Enterprise Session Border Controller) Cz8.4 (Oracle Enterprise Session Border Controller) от 8.0.0 до 8.0.22 включительно (MySQL Server) 1.0 (ОС ОН «Стрелец») до 2.1 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	ПО программно-аппаратных средств защиты, Операционная система, Прикладное ПО информационных систем, ПО виртуализации/ПО виртуального программно-аппаратного средства, Сетевое программное средство, ПО программно-аппаратного средства, СУБД, Программное средство защиты
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Novell Inc. OpenSUSE Leap 15.1 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Fedora Project Fedora 32 Novell Inc. OpenSUSE Leap 15.2 Fedora Project Fedora 33 Novell Inc. OpenSUSE Leap 15.1 x86 (x32 / IA-32) АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Разыменование указателя NULL
Идентификатор типа ошибки	CWE-476
Класс уязвимости	Уязвимость кода
Дата выявления	18.12.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-1971 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpuapr2021.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DGSI34Y5LQ5RYXN4M2I5ZQT65LFVDOUU/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PWPSSZNZOBJU2YR6Z4TGHXKYW3YP5QG7/ Для OpenSSL: https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=f960d81215ebf3f65e03d4d5d857fb9b666d6920 Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-1971 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОСОН Основа: Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u6 Для ОС ОН «Стрелец»: Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7 Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1 Результаты тестирования обновлений: Обновление Visual Studio 2019 16.11.30 Обновление Visual Studio 2019 16.4.27 Обновление Visual Studio 2019 16.7.27 Обновление Visual Studio 2019 16.9.26 Обновление Visual Studio 2019 16.11.21
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=f960d81215ebf3f65e03d4d5d857fb9b666d6920 https://lists.debian.org/debian-lts-announce/2020/12/msg00020.html https://lists.debian.org/debian-lts-announce/2020/12/msg00021.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DGSI34Y5LQ5RYXN4M2I5ZQT65LFVDOUU/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PWPSSZNZOBJU2YR6Z4TGHXKYW3YP5QG7/ https://nvd.nist.gov/vuln/detail/CVE-2020-1971 https://security-tracker.debian.org/tracker/CVE-2020-1971 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://www.openssl.org/news/secadv/20201208.txt https://www.oracle.com/security-alerts/cpuapr2021.html https://www.oracle.com/security-alerts/cpujan2021.html https://www.suse.com/security/cve/CVE-2020-1971 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-1971
Прочая информация	Данные уточняются

Последние изменения