Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-01315: Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL связана с выполнением цикла без достаточного ограничения количества его выполнения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Canonical Ltd., ООО «Ред Софт», ФССП России, OpenSSL Software Foundation, АО «ИВК», ООО «Открытая мобильная платформа», Mitsubishi Electric Corporation, IBM Corp., АО "НППКТ", Hitachi, Ltd.
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Ubuntu, Jboss Web Server, JBoss Core Services, JBoss Enterprise Application Platform, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, OpenSSL, Red Hat Advanced Cluster Management for Kubernetes, Альт 8 СП, ОС Аврора (запись в едином реестре российских программ №1543), GT SoftGOT2000, RD81OPC96, NZ2MHG-TSNT8F2, NZ2MHG-TSNT4, IBM Cloud Pak System, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), RTU500 series CMU
Версия ПО	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 8 (Red Hat Enterprise Linux) 14.04 ESM (Ubuntu) 5.0 (Jboss Web Server) 10 (Debian GNU/Linux) - (JBoss Core Services) 3 (Jboss Web Server) 20.04 LTS (Ubuntu) 6 (JBoss Enterprise Application Platform) 16.04 ESM (Ubuntu) 11 (Debian GNU/Linux) 21.10 (Ubuntu) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) от 3.0.0 до 3.0.2 (OpenSSL) от 1.1.1 до 1.1.1n (OpenSSL) от 1.0.2 до 1.0.2zd (OpenSSL) 2 (Red Hat Advanced Cluster Management for Kubernetes) - (Альт 8 СП) до 4.0.2 (ОС Аврора) до 1.280S (GT SoftGOT2000) до 08 включительно (RD81OPC96) до 03 включительно (NZ2MHG-TSNT8F2) до 03 включительно (NZ2MHG-TSNT4) до 2.3.3.5 (IBM Cloud Pak System) до 2.5 (ОСОН ОСнова Оnyx) от 13.3.1 до 13.3.3 включительно (RTU500 series CMU) от 12.0.1 до 12.0.14 включительно (RTU500 series CMU) от 12.2.1 до 12.2.11 включительно (RTU500 series CMU) от 12.4.1 до 12.4.11 включительно (RTU500 series CMU) от 12.6.1 до 12.6.8 включительно (RTU500 series CMU) от 12.7.1 до 12.7.5 включительно (RTU500 series CMU) от 13.2.1 до 13.2.5 включительно (RTU500 series CMU) 13.4.1 (RTU500 series CMU)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Программное средство защиты, Сетевое средство, Сетевое программное средство, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 64-bit Red Hat Inc. Red Hat Enterprise Linux 7 IA-32 Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS Red Hat Inc. Red Hat Enterprise Linux 8 Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10 Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 16.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 11 Canonical Ltd. Ubuntu 21.10 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 АО «ИВК» Альт 8 СП - ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 Aquarius CMP NS220 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 Byterg MVK-2020 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 F+ Life Tab Plus (запись в едином реестре российских программ №1543)
Тип ошибки	Выполнение цикла с недоступным условием выхода (бесконечный цикл)
Идентификатор типа ошибки	CWE-835
Класс уязвимости	Уязвимость кода
Дата выявления	15.03.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующий меры: Использование средств обнаружения и предотвращения вторжения (IPS/IDS) Информация производителей: Для OpenSSL: https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3118eb64934499d93db3230748a452351d1d9a65 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=a466912611aa6cbdf550cd10601390e587451246 https://www.openssl.org/news/openssl-1.1.1-notes.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-0778 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-0778 Для Ubuntu: https://ubuntu.com/security/notices/USN-5328-2 https://ubuntu.com/security/notices/USN-5328-1 Для программных продуктов Mitsubishi Electric Corporation: https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf Для программных продуктов IBM Corp.: https://www.ibm.com/support/pages/node/6612587 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb10321 Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb11322 Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb12323 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения openssl до версии 1.1.1n-0+deb10u2 Для продуктов Hitachi Energy: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02 Компенсирующие меры: - использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей; - использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала; - исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет); - использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов; - использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Манипулирование структурами данных Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2022-0778 https://altsp.su/obnovleniya-bezopasnosti/ https://cve.omprussia.ru/bb10321 https://cve.omprussia.ru/bb11322 https://cve.omprussia.ru/bb12323 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3118eb64934499d93db3230748a452351d1d9a65 https://redos.red-soft.ru/support/secure/ https://security-tracker.debian.org/tracker/CVE-2022-0778 https://ubuntu.com/security/notices/USN-5328-1 https://ubuntu.com/security/notices/USN-5328-2 https://www.mail-archive.com/openssl-announce@openssl.org/msg00367.html https://www.opennet.ru/opennews/art.shtml?num=56863 https://www.openssl.org/news/openssl-3.0-notes.html https://www.openssl.org/news/secadv/20220315.txt https://goslinux.fssp.gov.ru/2726972/ https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf https://www.ibm.com/support/pages/node/6612587 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02 https://library.e.abb.com/public/2a1f519e70474f7fabf8436b9cece25f/8DBD000150-VU-2023-004-OpenSSL_RTU500_Rev1.pdf?x-sign=0bg1XN9zG7lySsZ+ytx3v2Un6J8ZRZtlMjA1mJZE+u/GqrbJCrKiVnZ4hkI8HNuj https://altsp.su/obnovleniya-bezopasnosti/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-0778
Прочая информация	Данные уточняются

Последние изменения