BDU:2021-00873: Уязвимость реализации библиотеки OpenSSL, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю перехватить все зашифрованные сообщения, отправленные через соединение TLS

Описание уязвимости Уязвимость реализации библиотеки OpenSSL связана с недостаточной стойкостью шифрования. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перехватить все зашифрованные сообщения, отправленные через соединение TLS
Вендор Canonical Ltd., Oracle Corp., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, OpenSSL Software Foundation, Hitachi, Ltd.
Наименование ПО Ubuntu, PeopleSoft Enterprise PeopleTools, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), OpenSSL, Hitachi Energy Gateway Station (GWS), FACTS Control Platform (FCP)
Версия ПО
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 8.56 (PeopleSoft Enterprise PeopleTools)
  • 8.57 (PeopleSoft Enterprise PeopleTools)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 10.0 (Debian GNU/Linux)
  • 12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 8.58 (PeopleSoft Enterprise PeopleTools)
  • от 1.0.2 до 1.0.2v (OpenSSL)
  • от 1.0.2 до 1.0.2v включительно (OpenSSL)
  • до 3.2.0.0 (Hitachi Energy Gateway Station (GWS))
  • до 3.12.0 включительно (FACTS Control Platform (FCP))
  • до 2.3.0 включительно (FACTS Control Platform (FCP))
  • до 1.3.0 включительно (FACTS Control Platform (FCP))
Тип ПО Операционная система, Прикладное ПО информационных систем, Программное средство защиты, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы
Тип ошибки Слабое шифрование
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 09.09.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для OpenSSL:
Обновление библиотеки OpenSSL до более новой версии.

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-1968/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Hitachi Energy:
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01

Для Ubuntu:
https://usn.ubuntu.com/4504-1/

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-1968

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения