Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03181: Уязвимость реализации сценария c_rehash библиотеки OpenSSL, позволяющая нарушителю выполнять произвольные команды

Описание уязвимости	Уязвимость реализации сценария c_rehash библиотеки OpenSSL связана с непринятием мер по нейтрализации метасимволов оболочки при обработке сертификатов в /etc/ssl/certs/. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
Вендор	ООО «РусБИТех-Астра», Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, АО «ИВК», OpenSSL Software Foundation, Mitsubishi Electric Corporation, АО "НППКТ"
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Jboss Web Server, Debian GNU/Linux, JBoss Core Services, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Red Hat Advanced Cluster Management for Kubernetes, Альт 8 СП, Red Hat Enterprise Linux, OpenSSL, GT SoftGOT2000, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 5.0 (Jboss Web Server) 10 (Debian GNU/Linux) - (JBoss Core Services) 11 (Debian GNU/Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) 2 (Red Hat Advanced Cluster Management for Kubernetes) - (Альт 8 СП) 9 (Red Hat Enterprise Linux) от 3.0 до 3.0.3 (OpenSSL) от 1.1.1 до 1.1.1o (OpenSSL) от 1.0.2 до 1.0.2ze (OpenSSL) до 1.280S (GT SoftGOT2000) 4.7 (Astra Linux Special Edition) до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство, Программное средство защиты, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 АО «ИВК» Альт 8 СП - Red Hat Inc. Red Hat Enterprise Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.5 (запись в едином реестре российских программ №5913)
Тип ошибки	Непринятие мер по чистке данных на управляющем уровне (Внедрение в команду), Непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы (Внедрение в команду операционной системы)
Идентификатор типа ошибки	CWE-77 CWE-78
Класс уязвимости	Уязвимость кода
Дата выявления	02.04.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для OpenSSL: https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e5fd1728ef4c7a5bf7c7a7163ca60370460a6e23 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian: https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html https://www.debian.org/security/2022/dsa-5139 Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-1292 Для продуктов Mitsubishi Electric Corporation: https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 Для ОСОН Основа: Обновление программного обеспечения openssl до версии 1.1.1n-0+deb10u2 Для Astra Linux Special Edition 4.7 (для архитектуры ARM): использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e5fd1728ef4c7a5bf7c7a7163ca60370460a6e23 https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html https://www.debian.org/security/2022/dsa-5139 https://www.openssl.org/news/secadv/20220503.txt https://nvd.nist.gov/vuln/detail/CVE-2022-1292 https://redos.red-soft.ru/support/secure/ https://access.redhat.com/security/cve/CVE-2022-1292 https://goslinux.fssp.gov.ru/2726972/ https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://altsp.su/obnovleniya-bezopasnosti/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-1292
Прочая информация	Данные уточняются

Последние изменения