BDU:2021-00872: Уязвимость функции GENERAL_NAME_cmp библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость функции GENERAL_NAME_cmp библиотеки OpenSSL связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Oracle Corp., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, OpenSSL Software Foundation, АО «Концерн ВНИИНС»

Наименование ПО

API Gateway, PeopleSoft Enterprise PeopleTools, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Business Intelligence Enterprise Edition, Astra Linux Common Edition (запись в едином реестре российских программ №4433), JD Edwards World Security, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Enterprise Communications Broker, Fedora, Enterprise Manager Ops Center, MySQL Server, MySQL Workbench, GraalVM Enterprise Edition, OpenSSL, JD Edwards EnterpriseOne Tools, Oracle Communications Session Border Controller, Oracle Communications Session Router, Oracle Communications Subscriber-Aware Load Balancer, Communications Unified Session Manager, Oracle Enterprise Session Border Controller, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

  • 11.1.2.4.0 (API Gateway)
  • 8.56 (PeopleSoft Enterprise PeopleTools)
  • 8.57 (PeopleSoft Enterprise PeopleTools)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12.2.1.3.0 (Business Intelligence Enterprise Edition)
  • 12.2.1.4.0 (Business Intelligence Enterprise Edition)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • A9.4 (JD Edwards World Security)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • PCz3.1 (Enterprise Communications Broker)
  • PCz3.2 (Enterprise Communications Broker)
  • 32 (Fedora)
  • 8.58 (PeopleSoft Enterprise PeopleTools)
  • 5.5.0.0.0 (Business Intelligence Enterprise Edition)
  • 15.2 (OpenSUSE Leap)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • 33 (Fedora)
  • до 5.7.32 включительно (MySQL Server)
  • до 8.0.22 включительно (MySQL Workbench)
  • 19.3.4 (GraalVM Enterprise Edition)
  • 20.3.0 (GraalVM Enterprise Edition)
  • от 1.1.1до 1.1.1h (OpenSSL)
  • от 1.0.2 до 1.0.2w (OpenSSL)
  • до 9.2.5.3 (JD Edwards EnterpriseOne Tools)
  • Cz8.2 (Oracle Communications Session Border Controller)
  • Cz8.3 (Oracle Communications Session Border Controller)
  • Cz8.4 (Oracle Communications Session Border Controller)
  • Cz8.2 (Oracle Communications Session Router)
  • Cz8.3 (Oracle Communications Session Router)
  • Cz8.4 (Oracle Communications Session Router)
  • Cz8.2 (Oracle Communications Subscriber-Aware Load Balancer)
  • Cz8.3 (Oracle Communications Subscriber-Aware Load Balancer)
  • Cz8.4 (Oracle Communications Subscriber-Aware Load Balancer)
  • SCz8.2.5 (Communications Unified Session Manager)
  • PCz3.3 (Enterprise Communications Broker)
  • Cz8.2 (Oracle Enterprise Session Border Controller)
  • Cz8.3 (Oracle Enterprise Session Border Controller)
  • Cz8.4 (Oracle Enterprise Session Border Controller)
  • от 8.0.0 до 8.0.22 включительно (MySQL Server)
  • 1.0 (ОС ОН «Стрелец»)

Тип ПО

ПО программно-аппаратных средств защиты, Прикладное ПО информационных систем, Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Сетевое программное средство, ПО программно-аппаратного средства, СУБД, Программное средство защиты

Операционные системы и аппаратные платформы

Тип ошибки

Разыменование указателя NULL

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

18.12.2020

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения