BDU:2022-03136: Уязвимость криптографической библиотеки Libgcrypt, связанная с использованием слабого криптографического алгоритма. позволяющая нарушителю получить доступ к конфиденциальной информации

Описание уязвимости Уязвимость криптографической библиотеки Libgcrypt связана с использованием слабого криптографического алгоритма. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации
Вендор Сообщество свободного программного обеспечения, Fedora Project, ООО «Открытая мобильная платформа», Werner Koch, АО "НППКТ"
Наименование ПО Debian GNU/Linux, Fedora, ОС Аврора (запись в едином реестре российских программ №1543), Libgcrypt, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 9.0 (Debian GNU/Linux)
  • 33 (Fedora)
  • 34 (Fedora)
  • до 4.0.2 (ОС Аврора)
  • до 1.8.8 (Libgcrypt)
  • от 1.9.0 до 1.9.3 (Libgcrypt)
  • до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Программное средство защиты
Операционные системы и аппаратные платформы
Тип ошибки Раскрытие информации в результате расхождений
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 08.06.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Libgcrypt:
Обновление программного обеспечения до актуальной версии

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb10321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb11322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb12323

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/06/msg00021.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/R7OAPCUGPF3VLA7QAJUQSL255D4ITVTL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BKKTOIGFW2SGN3DO2UHHVZ7MJSYN4AAB/

Для ОСОН Основа:
Обновление программного обеспечения libgcrypt20 до версии 1.8.4-5+deb10u1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения