BDU:2021-02853: Уязвимость криптографических функций библиотеки средства разработки GoLang прикладного программного обеспечения Аврора Центр, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость криптографических функций библиотеки средства разработки GoLang прикладного программного обеспечения Аврора Центр связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Fedora Project, ООО «Открытая мобильная платформа», The Go Project
Наименование ПО Fedora, Аврора Центр (запись в едином реестре российских программ №6875), Go
Версия ПО 32 (Fedora), 33 (Fedora), от 2.1.3 до 2.5.0 включительно (Аврора Центр), до 1.14.12 (Go), от 1.15 до 1.15.5 (Go)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • АО «ИВК» Альт 8 СП Сервер - Не указана
  • Fedora Project Fedora 32 Не указана
  • Fedora Project Fedora 33 Не указана
  • The CentOS Project CentOS - Не указана
Тип ошибки Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки CWE-295
Класс уязвимости Уязвимость кода
Дата выявления 25.05.2021
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использовать следующие компенсирующие меры:
Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр

Для Go:
https://github.com/golang/go/issues/42552

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2W4COUPL3YVTZ6RTEIT6LPBDJUFF3VSP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F3ZSHGNTJWCWYAKY5OLZS2XQQYHSXSUO/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации Данные уточняются
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются