15.03.2022

Уязвимость BDU:2022-01315

Идентификатор: BDU:2022-01315.

Наименование уязвимости: Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL связана с выполнением цикла без достаточного ограничения количества его выполнения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Debian GNU/Linux 9 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Canonical Ltd. Ubuntu 14.04 ESM | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server 5.0 | Операционная система Debian GNU/Linux 10 | Прикладное ПО информационных систем Red Hat Inc. JBoss Core Services — | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server 3 | Операционная система Canonical Ltd. Ubuntu 20.04 LTS | Прикладное ПО информационных систем Red Hat Inc. JBoss Enterprise Application Platform 6 | Операционная система Canonical Ltd. Ubuntu 16.04 ESM | Операционная система Debian GNU/Linux 11 | Операционная система Canonical Ltd. Ubuntu 21.10 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ФССП России ОС ТД АИС ФССП России ИК6 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 3.0.0 до 3.0.2 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.1.1 до 1.1.1n | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.0.2 до 1.0.2zd | Сетевое средство, Сетевое программное средство Red Hat Inc. Red Hat Advanced Cluster Management for Kubernetes 2 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Mitsubishi Electric Corporation GT SoftGOT2000 до 1.280S | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Mitsubishi Electric Corporation RD81OPC96 до 08 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Mitsubishi Electric Corporation NZ2MHG-TSNT8F2 до 03 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Mitsubishi Electric Corporation NZ2MHG-TSNT4 до 03 включительно | ПО виртуализации/ПО виртуального программно-аппаратного средства IBM Corp. IBM Cloud Pak System до 2.3.3.5 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.5 | Операционная система АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1 | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 13.3.1 до 13.3.3 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.0.1 до 12.0.14 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.2.1 до 12.2.11 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.4.1 до 12.4.11 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.6.1 до 12.6.8 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.7.1 до 12.7.5 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 13.2.1 до 13.2.5 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU 13.4.1 | Операционная система АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 | Операционная система, Прикладное ПО информационных систем АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0 | Операционная система ООО «НЦПР» МСВСфера 9.5 |

Возможные меры по устранению:
Установка обновлений из доверенных источников
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующий меры:
Использование средств обнаружения и предотвращения вторжения (IPS/IDS)

Информация производителей:
Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3118eb64934499d93db3230748a452351d1d9a65
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=a466912611aa6cbdf550cd10601390e587451246
https://www.openssl.org/news/openssl-1.1.1-notes.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-0778

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0778

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5328-2
https://ubuntu.com/security/notices/USN-5328-1

Для программных продуктов Mitsubishi Electric Corporation:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6612587

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb10321

Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb11322

Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb12323

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения openssl до версии 1.1.1n-0+deb10u2

Для продуктов Hitachi Energy:
https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02

Компенсирующие меры:
— использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей;
— использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала;
— исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет);
— использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов;
— использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2252

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
— обновить пакет openssl1.0 до 1.0.2u-1~deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
— обновить пакет openssl до 1.1.1d-2astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:4899?lang=ru.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-0778.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/cve-2022-0778
https://altsp.su/obnovleniya-bezopasnosti/
https://cve.omprussia.ru/bb10321
https://cve.omprussia.ru/bb11322
https://cve.omprussia.ru/bb12323
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3118eb64934499d93db3230748a452351d1d9a65
https://redos.red-soft.ru/support/secure/
https://security-tracker.debian.org/tracker/CVE-2022-0778
https://ubuntu.com/security/notices/USN-5328-1
https://ubuntu.com/security/notices/USN-5328-2
https://www.mail-archive.com/openssl-announce@openssl.org/msg00367.html
https://www.opennet.ru/opennews/art.shtml?num=56863
https://www.openssl.org/news/openssl-3.0-notes.html
https://www.openssl.org/news/secadv/20220315.txt
https://goslinux.fssp.gov.ru/2726972/
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf
https://www.ibm.com/support/pages/node/6612587
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02
https://library.e.abb.com/public/2a1f519e70474f7fabf8436b9cece25f/8DBD000150-VU-2023-004-OpenSSL_RTU500_Rev1.pdf?x-sign=0bg1XN9zG7lySsZ+ytx3v2Un6J8ZRZtlMjA1mJZE+u/GqrbJCrKiVnZ4hkI8HNuj
https://altsp.su/obnovleniya-bezopasnosti/
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2252
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
https://abf.rosa.ru/advisories/ROSA-SA-2025-2898
https://abf.rosa.ru/advisories/ROSA-SA-2025-2897
https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:4899?lang=ru

Автор: ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.

Комментарии: