БДУ - Print

BDU:2021-02853: Уязвимость криптографических функций библиотеки средства разработки GoLang прикладного программного обеспечения Аврора Центр, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость криптографических функций библиотеки средства разработки GoLang прикладного программного обеспечения Аврора Центр связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Fedora Project, ООО «Открытая мобильная платформа», The Go Project
Наименование ПО	Fedora, Аврора Центр (запись в едином реестре российских программ №6875), Go
Версия ПО	32 (Fedora), 33 (Fedora), от 2.1.3 до 2.5.0 включительно (Аврора Центр), до 1.14.12 (Go), от 1.15 до 1.15.5 (Go)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	АО «ИВК» Альт 8 СП Сервер - Не указана Fedora Project Fedora 32 Не указана Fedora Project Fedora 33 Не указана The CentOS Project CentOS - Не указана
Тип ошибки	Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки	CWE-295
Класс уязвимости	Уязвимость кода
Дата выявления	25.05.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использовать следующие компенсирующие меры: Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр Для Go: https://github.com/golang/go/issues/42552 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2W4COUPL3YVTZ6RTEIT6LPBDJUFF3VSP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F3ZSHGNTJWCWYAKY5OLZS2XQQYHSXSUO/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Данные уточняются
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2020-28362 https://github.com/golang/go/issues/42552 https://app.snyk.io/vuln/SNYK-DEBIAN11-GOLANG115-1040406 https://groups.google.com/g/golang-nuts/c/c-ssaaS7RMI https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2W4COUPL3YVTZ6RTEIT6LPBDJUFF3VSP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F3ZSHGNTJWCWYAKY5OLZS2XQQYHSXSUO/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-28362
Прочая информация	Данные уточняются