BDU:2021-00872: Уязвимость функции GENERAL_NAME_cmp библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции GENERAL_NAME_cmp библиотеки OpenSSL связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор Oracle Corp., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, OpenSSL Software Foundation, АО «Концерн ВНИИНС»
Наименование ПО API Gateway, PeopleSoft Enterprise PeopleTools, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Business Intelligence Enterprise Edition, Astra Linux Common Edition (запись в едином реестре российских программ №4433), JD Edwards World Security, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Enterprise Communications Broker, Fedora, Enterprise Manager Ops Center, MySQL Server, MySQL Workbench, GraalVM Enterprise Edition, OpenSSL, JD Edwards EnterpriseOne Tools, Oracle Communications Session Border Controller, Oracle Communications Session Router, Oracle Communications Subscriber-Aware Load Balancer, Communications Unified Session Manager, Oracle Enterprise Session Border Controller, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 11.1.2.4.0 (API Gateway), 8.56 (PeopleSoft Enterprise PeopleTools), 8.57 (PeopleSoft Enterprise PeopleTools), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 12.2.1.3.0 (Business Intelligence Enterprise Edition), 12.2.1.4.0 (Business Intelligence Enterprise Edition), 2.12 «Орёл» (Astra Linux Common Edition), A9.4 (JD Edwards World Security), 15.1 (OpenSUSE Leap), 10.0 (Debian GNU/Linux), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), PCz3.1 (Enterprise Communications Broker), PCz3.2 (Enterprise Communications Broker), 32 (Fedora), 8.58 (PeopleSoft Enterprise PeopleTools), 5.5.0.0.0 (Business Intelligence Enterprise Edition), 15.2 (OpenSUSE Leap), 12.4.0.0 (Enterprise Manager Ops Center), 33 (Fedora), до 5.7.32 включительно (MySQL Server), до 8.0.22 включительно (MySQL Workbench), 19.3.4 (GraalVM Enterprise Edition), 20.3.0 (GraalVM Enterprise Edition), от 1.1.1до 1.1.1h (OpenSSL), от 1.0.2 до 1.0.2w (OpenSSL), до 9.2.5.3 (JD Edwards EnterpriseOne Tools), Cz8.2 (Oracle Communications Session Border Controller), Cz8.3 (Oracle Communications Session Border Controller), Cz8.4 (Oracle Communications Session Border Controller), Cz8.2 (Oracle Communications Session Router), Cz8.3 (Oracle Communications Session Router), Cz8.4 (Oracle Communications Session Router), Cz8.2 (Oracle Communications Subscriber-Aware Load Balancer), Cz8.3 (Oracle Communications Subscriber-Aware Load Balancer), Cz8.4 (Oracle Communications Subscriber-Aware Load Balancer), SCz8.2.5 (Communications Unified Session Manager), PCz3.3 (Enterprise Communications Broker), Cz8.2 (Oracle Enterprise Session Border Controller), Cz8.3 (Oracle Enterprise Session Border Controller), Cz8.4 (Oracle Enterprise Session Border Controller), от 8.0.0 до 8.0.22 включительно (MySQL Server), 1.0 (ОС ОН «Стрелец»)
Тип ПО ПО программно-аппаратных средств защиты, Прикладное ПО информационных систем, Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Сетевое программное средство, ПО программно-аппаратного средства, СУБД, Программное средство защиты
Операционные системы и аппаратные платформы
Тип ошибки Разыменование указателя NULL
Идентификатор типа ошибки CWE-476
Класс уязвимости Уязвимость кода
Дата выявления 18.12.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:P
  • CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-1971

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DGSI34Y5LQ5RYXN4M2I5ZQT65LFVDOUU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PWPSSZNZOBJU2YR6Z4TGHXKYW3YP5QG7/

Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=f960d81215ebf3f65e03d4d5d857fb9b666d6920

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-1971

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются