Уязвимость BDU:2022-02556

Идентификатор: BDU:2022-02556.

Наименование уязвимости: Уязвимость функции ts_obj_print_bio библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции ts_obj_print_bio библиотеки OpenSSL связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1n | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1o | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2b | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2c | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1m | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2a | Операционная система Red Hat Inc. Red Hat Enterprise Linux 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Canonical Ltd. Ubuntu 12.04 | Операционная система Debian GNU/Linux 9 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2h | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2g | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2f | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2e | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2d | Операционная система Novell Inc. OpenSUSE Leap 15.0 | Операционная система Canonical Ltd. Ubuntu 14.04 ESM | Операционная система Debian GNU/Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 7 | Операционная система Canonical Ltd. Ubuntu 16.04 ESM | Операционная система Debian GNU/Linux 11 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1c | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1d | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1l | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1t | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1e | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1f | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1a | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1b | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1i | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1j | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1k | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1r | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1s | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1g | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1h | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1p | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1q |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 6 | Red Hat Enterprise Linux 7 | Ubuntu 1204 | Debian GNU/Linux 9 | OpenSUSE Leap 150 | Ubuntu 1404 ESM | Debian GNU/Linux 8 | Debian GNU/Linux 10 | Debian GNU/Linux 7 | Ubuntu 1604 ESM | Debian GNU/Linux 11 |
Дата выявления: 01.08.2016.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
https://bugzilla.redhat.com/show_bug.cgi?id=1359615

https://github.com/openssl/openssl/commit/0ed26acce328ec16a3aa635f1ca37365e8c7403a

https://security.gentoo.org/glsa/201612-16

https://www.openssl.org/news/vulnerabilities.html#y2017

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2016-2180

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2016-2180.xml

Для Ubuntu:
https://ubuntu.com/security/CVE-2016-2180

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2016-2180.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2016-2180.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://bugzilla.redhat.com/show_bug.cgi?id=1359615
https://github.com/openssl/openssl/commit/0ed26acce328ec16a3aa635f1ca37365e8c7403a
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
http://www.oracle.com/technetwork/topics/security/ovmbulletinoct2016-3090547.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2016-3090545.html
http://www.securityfocus.com/bid/92117
http://www.splunk.com/view/SP-CAAAPUE
http://www.splunk.com/view/SP-CAAAPSV
https://security.gentoo.org/glsa/201612-16
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA40312
https://bto.bluecoat.com/security-advisory/sa132
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10759
https://www.tenable.com/security/tns-2016-16
http://www-01.ibm.com/support/docview.wss?uid=swg21995039
https://www.openssl.org/news/vulnerabilities.html#y2017
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
http://www.securitytracker.com/id/1036486
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
https://www.tenable.com/security/tns-2016-21
https://www.tenable.com/security/tns-2016-20
https://security.FreeBSD.org/advisories/FreeBSD-SA-16:26.openssl.asc
http://rhn.redhat.com/errata/RHSA-2016-1940.html
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf03856en_us