БДУ - Print

BDU:2019-00985: Уязвимость функции SSL_shutdown средства криптографической защиты OpenSSL, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости	Уязвимость функции SSL_shutdown() средства криптографической защиты OpenSSL связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию
Вендор	ООО «РусБИТех-Астра», Oracle Corp., Red Hat Inc., Canonical Ltd., Novell Inc., Siemens AG, OpenSSL Software Foundation, Сообщество свободного программного обеспечения, ООО «Ред Софт», ООО «Открытая мобильная платформа»
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), API Gateway, Red Hat Enterprise Linux, Ubuntu, OpenSUSE Leap, Enterprise Manager Ops Center, JD Edwards EnterpriseOne Tools, PeopleSoft Enterprise PeopleTools, SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP, OpenSSL, Suse Linux Enterprise Desktop, SUSE Enterprise Storage, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, SUSE OpenStack Cloud, Debian GNU/Linux, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Red Hat Virtualization, Suse Linux Enterprise Server, Business Intelligence Enterprise Edition, Oracle Secure Global Desktop, Enterprise Manager Base Platform, SUSE Linux Enterprise Module for Web Scripting, Endeca Server, Enterprise Communications Broker, JD Edwards World Security, SUSE Linux Enterprise Point of Sale, SUSE CaaS Platform, SUSE Linux Enterprise Module for Legacy Software, SUSE OpenStack Cloud Crowbar, MySQL Connectors, MySQL Server, MySQL Enterprise Monitor, OpenStack Cloud Magnum Orchestration, Jboss Web Server, Fujitsu M10-1, Fujitsu M10-4, Fujitsu M10-4S, Fujitsu M12-1, Fujitsu M12-2, Fujitsu M12-2S, РЕД ОС (запись в едином реестре российских программ №3751), Sun ZFS Storage Appliance Kit, Oracle Communications Session Border Controller, Oracle Enterprise Session Border Controller, Communications Unified Session Manager, Oracle Communications Session Router, Communications Diameter Signaling Router, MySQL Workbench, Services Tools Bundle, Communications Performance Intelligence Center (PIC) Software, ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО	1.5 «Смоленск» (Astra Linux Special Edition), 11.1.2.4.0 (API Gateway), 6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 16.04 LTS (Ubuntu), 42.3 (OpenSUSE Leap), 18.04 LTS (Ubuntu), 12.3.3 (Enterprise Manager Ops Center), 9.2 (JD Edwards EnterpriseOne Tools), 18.10 (Ubuntu), 8.55 (PeopleSoft Enterprise PeopleTools), 8.56 (PeopleSoft Enterprise PeopleTools), 8.57 (PeopleSoft Enterprise PeopleTools), V2.6.0 (SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP), от 1.0.2 до 1.0.2q включительно (OpenSSL), 12 SP3 (Suse Linux Enterprise Desktop), 12 SP4 (Suse Linux Enterprise Desktop), 4 (SUSE Enterprise Storage), 12 SP2 (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 12 SP4 (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Software Development Kit), 12 SP4 (SUSE Linux Enterprise Software Development Kit), 7 (SUSE OpenStack Cloud), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 4 (Red Hat Virtualization), 12 SP3 (Suse Linux Enterprise Server), 12 SP4 (Suse Linux Enterprise Server), 11.1.1.9.0 (Business Intelligence Enterprise Edition), 12.2.1.3.0 (Business Intelligence Enterprise Edition), 12.2.1.4.0 (Business Intelligence Enterprise Edition), 5.4 (Oracle Secure Global Desktop), 13.2.0.0.0 (Enterprise Manager Base Platform), 13.3.0.0.0 (Enterprise Manager Base Platform), 12.1.0.5.0 (Enterprise Manager Base Platform), 12 (SUSE Linux Enterprise Module for Web Scripting), 7.7.0 (Endeca Server), PCz3.0 (Enterprise Communications Broker), A9.3 (JD Edwards World Security), A9.3.1 (JD Edwards World Security), A9.4 (JD Edwards World Security), 15.0 (OpenSUSE Leap), 12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale), 12 SP2-BCL (Suse Linux Enterprise Server), 12 SP2-ESPOS (Suse Linux Enterprise Server), - (SUSE CaaS Platform), 15 SP1 (SUSE Linux Enterprise Module for Legacy Software), 15 (SUSE Linux Enterprise Module for Legacy Software), 11 SP3 (SUSE Linux Enterprise Point of Sale), 12-LTSS (Suse Linux Enterprise Server), 12 SP1 (SUSE Linux Enterprise Server for SAP Applications), 12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12-LTSS (SUSE Linux Enterprise Server for SAP Applications), 15.1 (OpenSUSE Leap), 11 SP4-LTSS (Suse Linux Enterprise Server), 12 SP1-LTSS (Suse Linux Enterprise Server), 12 SP2-LTSS (Suse Linux Enterprise Server), 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 8 (SUSE OpenStack Cloud Crowbar), до 5.3.12 включительно (MySQL Connectors), до 8.0.15 включительно (MySQL Connectors), до 5.6.43 включительно (MySQL Server), до 5.7.25 включительно (MySQL Server), до 8.0.15 включительно (MySQL Server), до 4.0.8 включительно (MySQL Enterprise Monitor), до 8.0.14 включительно (MySQL Enterprise Monitor), 12.4.0 (Enterprise Manager Ops Center), 7 (OpenStack Cloud Magnum Orchestration), 12 (SUSE Linux Enterprise Module for Legacy Software), 11-SECURITY (Suse Linux Enterprise Server), 11-SECURITY (SUSE Linux Enterprise Server for SAP Applications), 5.0 (Jboss Web Server), до XCP2361 (Fujitsu M10-1), до XCP3070 (Fujitsu M10-1), до XCP2361 (Fujitsu M10-4), до XCP3070 (Fujitsu M10-4), до XCP2361 (Fujitsu M10-4S), до XCP3070 (Fujitsu M10-4S), до XCP2361 (Fujitsu M12-1), до XCP3070 (Fujitsu M12-1), до XCP3070 (Fujitsu M12-2), до XCP2361 (Fujitsu M12-2), до XCP2361 (Fujitsu M12-2S), до XCP3070 (Fujitsu M12-2S), до 7.2 Муром (РЕД ОС), 8.8.6 (Sun ZFS Storage Appliance Kit), PCz3.1 (Enterprise Communications Broker), PCz3.2 (Enterprise Communications Broker), 8.0 (Oracle Communications Session Border Controller), 8.1 (Oracle Communications Session Border Controller), 8.2 (Oracle Communications Session Border Controller), 8.3 (Oracle Communications Session Border Controller), 7.5 (Oracle Enterprise Session Border Controller), 8.0 (Oracle Enterprise Session Border Controller), 8.1 (Oracle Enterprise Session Border Controller), 8.2 (Oracle Enterprise Session Border Controller), 8.3 (Oracle Enterprise Session Border Controller), 7.3.5 (Communications Unified Session Manager), 8.2.5 (Communications Unified Session Manager), 7.4 (Oracle Communications Session Router), 8.0 (Oracle Communications Session Router), 8.1 (Oracle Communications Session Router), 8.2 (Oracle Communications Session Router), 8.3 (Oracle Communications Session Router), 7.4 (Oracle Communications Session Border Controller), 8.0 (Communications Diameter Signaling Router), 8.1 (Communications Diameter Signaling Router), 8.2 (Communications Diameter Signaling Router), 8.3 (Communications Diameter Signaling Router), 8.4 (Communications Diameter Signaling Router), до 8.0.16 включительно (MySQL Workbench), 19.2 (Services Tools Bundle), 5.2 on RHEL 6 (Jboss Web Server), 5.2 on RHEL 7 (Jboss Web Server), 5.2 on RHEL 8 (Jboss Web Server), 10.4.0.2 (Communications Performance Intelligence Center (PIC) Software), до 3.2.3.31 (ОС Аврора)
Тип ПО	Операционная система, ПО программно-аппаратных средств защиты, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем, ПО программно-аппаратного средства АСУ ТП, Программное средство защиты, ПО виртуализации/ПО виртуального программно-аппаратного средства, СУБД, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» Не указана (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 6 Не указана Red Hat Inc. Red Hat Enterprise Linux 7 Не указана Canonical Ltd. Ubuntu 16.04 LTS Не указана Novell Inc. OpenSUSE Leap 42.3 Не указана Canonical Ltd. Ubuntu 18.04 LTS Не указана Canonical Ltd. Ubuntu 18.10 Не указана Novell Inc. Suse Linux Enterprise Desktop 12 SP3 Не указана Novell Inc. Suse Linux Enterprise Desktop 12 SP4 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана Novell Inc. Suse Linux Enterprise Server 12 SP3 Не указана Novell Inc. Suse Linux Enterprise Server 12 SP4 Не указана Novell Inc. OpenSUSE Leap 15.0 Не указана Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Не указана Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS Не указана Novell Inc. Suse Linux Enterprise Server 12-LTSS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12-LTSS Не указана Novell Inc. OpenSUSE Leap 15.1 Не указана Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS Не указана Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS Не указана Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS Не указана Novell Inc. Suse Linux Enterprise Server 11-SECURITY Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11-SECURITY Не указана ООО «Ред Софт» РЕД ОС до 7.2 Муром Не указана (запись в едином реестре российских программ №3751) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 INOI R7 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 Aquarius CMP NS220 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 Byterg MVK-2020 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 F+ Life Tab Plus (запись в едином реестре российских программ №1543)
Тип ошибки	Раскрытие информации
Идентификатор типа ошибки	CWE-200
Класс уязвимости	Уязвимость кода
Дата выявления	27.02.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:N/A:N CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://www.openssl.org/news/secadv/20190226.txt Компенсирующие меры для SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP: Следовать рекомендациям производителя: https://www.siemens.com/cert/operational-guidelines-industrial-security Использование приложений только из надежных источников Для openssl: Обновление программного обеспечения до 1.1.0b-2 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u11 или более поздней версии Для Debian: Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u11 или более поздней версии Для РЕД ОС: Обновление операционной системы до версии 7.2 Муром Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb4321 Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb5322 Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb6323 Для Ubuntu: https://usn.ubuntu.com/3899-1/ Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483 Для продуктов Oracle: https://www.oracle.com/security-alerts/cpujan2021.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://usn.ubuntu.com/3899-1/ https://www.securityfocus.com/bid/107174 https://www.openssl.org/news/secadv/20190226.txt https://cert-portal.siemens.com/productcert/pdf/ssb-439005.pdf https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e9bbefbf0f24c57645e7ad6a5a71ae649d18ac8e https://security.gentoo.org/glsa/201903-10 https://nvd.nist.gov/vuln/detail/CVE-2019-1559 https://security-tracker.debian.org/tracker/CVE-2019-1559 https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483 https://www.oracle.com/security-alerts/cpujan2021.html https://cve.omprussia.ru/bb4321 https://cve.omprussia.ru/bb5322 https://cve.omprussia.ru/bb6323
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-1559
Прочая информация	-