BDU:2024-01424: Уязвимость обработчика OpenSSL операционной системы реального времени Wind River VxWorks, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость обработчика OpenSSL операционной системы реального времени Wind River VxWorks связана с ошибками освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Wind River Systems, Inc.
Наименование ПО VxWorks
Версия ПО 7 22.09, 7 23.03
Тип ПО Операционная система, Средство АСУ ТП
Операционные системы и аппаратные платформы
  • Wind River Systems, Inc. VxWorks 7 22.09 Не указана
  • Wind River Systems, Inc. VxWorks 7 23.03 Не указана
Тип ошибки Неправильное освобождение памяти перед удалением последней ссылки («утечка памяти»)
Идентификатор типа ошибки CWE-401
Класс уязвимости Уязвимость кода
Дата выявления 15.02.2024
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://support2.windriver.com/index.php?page=cve&on=view&id=CVE-2023-51787
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Исчерпание ресурсов
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются