BDU:2022-01315: Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL связана с выполнением цикла без достаточного ограничения количества его выполнения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, OpenSSL Software Foundation, АО «ИВК», ООО «Открытая мобильная платформа», Mitsubishi Electric Corporation, IBM Corp., АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Jboss Web Server, JBoss Core Services, JBoss Enterprise Application Platform, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, OpenSSL, Red Hat Advanced Cluster Management for Kubernetes, Альт 8 СП, ОС Аврора (запись в едином реестре российских программ №1543), GT SoftGOT2000, RD81OPC96, NZ2MHG-TSNT8F2, NZ2MHG-TSNT4, IBM Cloud Pak System, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 18.04 LTS (Ubuntu)
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 5.0 (Jboss Web Server)
  • - (JBoss Core Services)
  • 3 (Jboss Web Server)
  • 20.04 LTS (Ubuntu)
  • 6 (JBoss Enterprise Application Platform)
  • 16.04 ESM (Ubuntu)
  • 11.0 (Debian GNU/Linux)
  • 21.10 (Ubuntu)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • от 3.0.0 до 3.0.2 (OpenSSL)
  • от 1.1.1 до 1.1.1n (OpenSSL)
  • от 1.0.2 до 1.0.2zd (OpenSSL)
  • 2 (Red Hat Advanced Cluster Management for Kubernetes)
  • - (Альт 8 СП)
  • до 4.0.2 (ОС Аврора)
  • до 1.280S (GT SoftGOT2000)
  • до 08 включительно (RD81OPC96)
  • до 03 включительно (NZ2MHG-TSNT8F2)
  • до 03 включительно (NZ2MHG-TSNT4)
  • до 2.3.3.5 (IBM Cloud Pak System)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, Программное средство защиты, Сетевое средство, Сетевое программное средство, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Выполнение цикла с недоступным условием выхода (бесконечный цикл)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 15.03.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующий меры:
Использование средств обнаружения и предотвращения вторжения (IPS/IDS)

Информация производителей:
Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3118eb64934499d93db3230748a452351d1d9a65
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=a466912611aa6cbdf550cd10601390e587451246
https://www.openssl.org/news/openssl-1.1.1-notes.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-0778

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0778

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5328-2
https://ubuntu.com/security/notices/USN-5328-1

Для программных продуктов Mitsubishi Electric Corporation:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6612587

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb10321

Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb11322

Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb12323

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения openssl до версии 1.1.1n-0+deb10u2
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует
Способ эксплуатации
  • Манипулирование структурами данных
  • Исчерпание ресурсов
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения