BDU:2021-03510: Уязвимость программного средства для взаимодействия с серверами CURL, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости

Уязвимость программного средства для взаимодействия с серверами CURL связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность данных с помощью OCSP-ответа

Вендор

ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Дэниел Стенберг, АО «Концерн ВНИИНС»

Версия ПО

  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 10.0 (Debian GNU/Linux)
  • от 7.41.0 до 7.74.0 (cURL)
  • 1.0 (ОС ОН «Стрелец»)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Неправильное подтверждение подлинности сертификата

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

01.12.2020

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для CURL:
использование рекомендаций производителя: https://curl.se/docs/CVE-2020-8286.html

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-8286

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

  • Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения