Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-00873: Уязвимость реализации библиотеки OpenSSL, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю перехватить все зашифрованные сообщения, отправленные через соединение TLS

Описание уязвимости	Уязвимость реализации библиотеки OpenSSL связана с недостаточной стойкостью шифрования. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перехватить все зашифрованные сообщения, отправленные через соединение TLS
Вендор	Canonical Ltd., Oracle Corp., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, OpenSSL Software Foundation, Hitachi, Ltd.
Наименование ПО	Ubuntu, PeopleSoft Enterprise PeopleTools, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), OpenSSL, Hitachi Energy Gateway Station (GWS), FACTS Control Platform (FCP)
Версия ПО	16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 8.56 (PeopleSoft Enterprise PeopleTools) 8.57 (PeopleSoft Enterprise PeopleTools) 1.6 «Смоленск» (Astra Linux Special Edition) 12 SP2 (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 10.0 (Debian GNU/Linux) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 8.58 (PeopleSoft Enterprise PeopleTools) от 1.0.2 до 1.0.2v (OpenSSL) от 1.0.2 до 1.0.2v включительно (OpenSSL) до 3.2.0.0 (Hitachi Energy Gateway Station (GWS)) до 3.12.0 включительно (FACTS Control Platform (FCP)) до 2.3.0 включительно (FACTS Control Platform (FCP)) до 1.3.0 включительно (FACTS Control Platform (FCP))
Тип ПО	Операционная система, Прикладное ПО информационных систем, Программное средство защиты, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS 32-bit Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Тип ошибки	Слабое шифрование
Идентификатор типа ошибки	CWE-326
Класс уязвимости	Уязвимость кода
Дата выявления	09.09.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для OpenSSL: Обновление библиотеки OpenSSL до более новой версии. Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-1968/ Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2021.html Для программных продуктов Hitachi Energy: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02 https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01 Для Ubuntu: https://usn.ubuntu.com/4504-1/ Для ОС Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-1968 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://lists.debian.org/debian-lts-announce/2020/09/msg00016.html https://nvd.nist.gov/vuln/detail/CVE-2020-1968 https://security-tracker.debian.org/tracker/CVE-2020-1968 https://usn.ubuntu.com/4504-1/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.openssl.org/news/secadv/20200909.txt https://www.oracle.com/security-alerts/cpujan2021.html https://www.suse.com/security/cve/CVE-2020-1968/ https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02 https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-1968 ICSA: ICSA-22-242-02 ICSA: ICSA-22-242-01
Прочая информация	Данные уточняются

Последние изменения