Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-06401: Уязвимость открытой реализации протокола OpenLDAP, связанная с доступом к ресурсу с использованием несовместимого типа, позволяющая нарушителю выполнить отказ в обслуживании

Описание уязвимости	Уязвимость открытой реализации протокола OpenLDAP связана с доступом к ресурсу с использованием несовместимого типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить отказ в обслуживании с помощью отправки специально сформированного запроса к slapd
Вендор	Сообщество свободного программного обеспечения, ООО «Ред Софт», OpenLDAP, ООО «РусБИТех-Астра», ФССП России, АО "НППКТ"
Наименование ПО	Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), OpenLDAP, Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	9.0 (Debian GNU/Linux) 10.0 (Debian GNU/Linux) 11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) от 2.4 до 2.4.57 (OpenLDAP) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6
Тип ошибки	Доступ к ресурсу через несовместимые типы
Идентификатор типа ошибки	CWE-843
Класс уязвимости	Уязвимость кода
Дата выявления	06.02.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для OpenLDAP: Обновление программного обеспечения до актуальной версии Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-36229 Для Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения openldap до версии 2.4.47+dfsg-3+deb10u6
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/ https://www.cybersecurity-help.cz/vdb/SB2021020601 https://security-tracker.debian.org/tracker/CVE-2020-36229 https://bugs.openldap.org/show_bug.cgi?id=9425 https://git.openldap.org/openldap/openldap/-/commit/4bdfffd2889c0c5cdf58bebafbdc8fce4bb2bff0 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://goslinux.fssp.gov.ru/2726972/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-36229
Прочая информация	Данные уточняются

Последние изменения