Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01844: Уязвимость реализации протокола TLS библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость реализации протокола TLS библиотеки OpenSSL связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально созданного вредоносного сообщения «ClientHello»
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, OpenSSL Software Foundation, FreeBSD Project, Tenable, Inc., АО "НППКТ"
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Fedora, OpenSSL, FreeBSD, Nessus, Tenable.sc, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 10.0 (Debian GNU/Linux) 10 (Debian GNU/Linux) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 34 (Fedora) от 1.1.1 до 1.1.1j включительно (OpenSSL) от 12.2 до 12.2-RELEASE-p5 (FreeBSD) от 13 до 13.0-RC3-p1 (FreeBSD) до 8.13.1 включительно (Nessus) от 5.13.0 до 5.17.0 включительно (Tenable.sc) до 2.1 (ОСОН ОСнова Оnyx) до 2.3 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Программное средство защиты, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Fedora Project Fedora 34 FreeBSD Project FreeBSD от 12.2 до 12.2-RELEASE-p5 FreeBSD Project FreeBSD от 13 до 13.0-RC3-p1
Тип ошибки	Разыменование указателя NULL
Идентификатор типа ошибки	CWE-476
Класс уязвимости	Уязвимость кода
Дата выявления	11.01.2018
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для OpenSSL: https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148 https://www.openssl.org/news/secadv/20210325.txt Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CCBFLLVQVILIVGZMBJL3IXZGKWQISYNP/ Для FreeBSD: https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc Для программных продуктов Tenable: https://www.tenable.com/security/tns-2021-05 https://www.tenable.com/security/tns-2021-06 Для Debian: https://security-tracker.debian.org/tracker/CVE-2021-3449 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для ОСОН Основа: Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u6 Для ОСОН Основа: Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://www.openwall.com/lists/oss-security/2021/03/27/1 http://www.openwall.com/lists/oss-security/2021/03/27/2 http://www.openwall.com/lists/oss-security/2021/03/28/3 http://www.openwall.com/lists/oss-security/2021/03/28/4 https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=c589c34e61 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148 https://github.com/terorie/cve-2021-3449 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CCBFLLVQVILIVGZMBJL3IXZGKWQISYNP/ https://nvd.nist.gov/vuln/detail/CVE-2021-3449 https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc https://security.gentoo.org/glsa/202103-03 https://security.netapp.com/advisory/ntap-20210326-0006/ https://security-tracker.debian.org/tracker/CVE-2021-3449 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.debian.org/security/2021/dsa-4875 https://www.openssl.org/news/secadv/20210325.txt https://www.tenable.com/security/tns-2021-05 https://www.tenable.com/security/tns-2021-06 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-3449
Прочая информация	Данные уточняются

Последние изменения