Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06694: Уязвимость функции asn1_encode_simple_der() библиотеки Libtasn1, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции asn1_encode_simple_der() библиотеки Libtasn1 связана с ошибкой единичного смещения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию или вызвать отказ в обслуживании, путем передачи приложению специально созданных данных
Вендор	Novell Inc., Red Hat Inc., Сообщество свободного программного обеспечения, Canonical Ltd., ООО «Ред Софт»
Наименование ПО	SUSE Linux Enterprise Server for SAP Applications, Red Hat Enterprise Linux, Suse Linux Enterprise Server, Debian GNU/Linux, Ubuntu, OpenSUSE Leap, РЕД ОС (запись в едином реестре российских программ №3751), Suse Linux Enterprise Desktop, libtasn1
Версия ПО	12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 8 (Red Hat Enterprise Linux) 12 SP2-BCL (Suse Linux Enterprise Server) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 10.0 (Debian GNU/Linux) 12 SP3-BCL (Suse Linux Enterprise Server) 12 SP5 (Suse Linux Enterprise Server) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 15-LTSS (Suse Linux Enterprise Server) 12 SP4-ESPOS (Suse Linux Enterprise Server) 12 SP4-LTSS (Suse Linux Enterprise Server) 15 SP1-BCL (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 16.04 ESM (Ubuntu) 15.3 (OpenSUSE Leap) 11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) 15.4 (OpenSUSE Leap) 15 SP3 (Suse Linux Enterprise Server) 15 SP3 (SUSE Linux Enterprise Server for SAP Applications) 15 SP3 (Suse Linux Enterprise Desktop) 15 SP2 (SUSE Linux Enterprise Server for SAP Applications) 15 SP4 (Suse Linux Enterprise Server) 15 SP4 (Suse Linux Enterprise Desktop) 15 SP2-BCL (Suse Linux Enterprise Server) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 9 (Red Hat Enterprise Linux) 15 SP2-LTSS (Suse Linux Enterprise Server) от 4.0 до 4.19.0 (libtasn1)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Novell Inc. Suse Linux Enterprise Server 12 SP5 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Novell Inc. Suse Linux Enterprise Server 15-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Canonical Ltd. Ubuntu 16.04 ESM Novell Inc. OpenSUSE Leap 15.3 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Novell Inc. OpenSUSE Leap 15.4 Novell Inc. Suse Linux Enterprise Server 15 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 Novell Inc. Suse Linux Enterprise Desktop 15 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 Novell Inc. Suse Linux Enterprise Server 15 SP4 Novell Inc. Suse Linux Enterprise Desktop 15 SP4 Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 Red Hat Inc. Red Hat Enterprise Linux 9 Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
Тип ошибки	Чтение за границами буфера, Ошибка единичного смещения
Идентификатор типа ошибки	CWE-125 CWE-193
Класс уязвимости	Уязвимость кода
Дата выявления	24.10.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Libtasn1: https://bugs.gentoo.org/866237 https://gitlab.com/gnutls/libtasn1/-/commit/44a700d2051a666235748970c2df047ff207aeb5 https://gitlab.com/gnutls/libtasn1/-/issues/32 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-46848 Для Ubuntu: https://ubuntu.com/security/CVE-2021-46848 https://ubuntu.com/security/notices/USN-5707-1 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-46848 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-46848.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.cybersecurity-help.cz/vdb/SB2022103141 https://bugs.gentoo.org/866237 https://gitlab.com/gnutls/libtasn1/-/commit/44a700d2051a666235748970c2df047ff207aeb5 https://gitlab.com/gnutls/libtasn1/-/issues/32 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://access.redhat.com/security/cve/cve-2021-46848 https://ubuntu.com/security/CVE-2021-46848 https://ubuntu.com/security/notices/USN-5707-1 https://security-tracker.debian.org/tracker/CVE-2021-46848 https://www.suse.com/security/cve/CVE-2021-46848.html
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-46848
Прочая информация	Данные уточняются

Последние изменения