Уязвимость BDU:2023-02237

Идентификатор: BDU:2023-02237.

Наименование уязвимости: Уязвимость алгоритмов шифрования PKCS#1 v1.5, RSA-OEAP и RSASVE криптографической библиотеки OpenSSL, позволяющая нарушителю реализовать атаку Блейхенбахера (Bleichenbacher).

Описание уязвимости: Уязвимость алгоритмов шифрования PKCS#1 v1.5, RSA-OEAP и RSASVE криптографической библиотеки OpenSSL связана с формированием побочного канала синхронизации в результате расхождения во времени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку Блейхенбахера (Bleichenbacher)
Уязвимое ПО: Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 12 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Legacy Software 12 | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server 5.0 | Прикладное ПО информационных систем Red Hat Inc. JBoss Core Services — | Прикладное ПО информационных систем Novell Inc. SUSE OpenStack Cloud Crowbar 9 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 | Операционная система Novell Inc. openSUSE Tumbleweed — | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE CaaS Platform 4.0 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP1-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система Novell Inc. OpenSUSE Leap 15.4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Proxy 4.2 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Server 4.2 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 7 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP2-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.1 | Операционная система АО «ИВК» Альт 8 СП — | Программное средство защиты OpenSSL Software Foundation OpenSSL 3.0 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 | Сетевое средство, Сетевое программное средство Novell Inc. SUSE Manager Retail Branch Server 4.2 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.2 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS | Сетевое средство, Сетевое программное средство Novell Inc. SUSE Manager Retail Branch Server 4.3 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Proxy 4.3 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Server 4.3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP4 | Операционная система Novell Inc. openSUSE Leap Micro 5.2 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 7.1 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.3 | Операционная система Novell Inc. openSUSE Leap Micro 5.3 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Legacy Software 15 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP3-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP3-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Real Time 15 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS-EXTREME-CORE | Операционная система АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1 | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.0.1 до 12.0.15 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.2.1 до 12.2.12 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.4.1 до 12.4.12 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.6.1 до 12.6.9 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 12.7.1 до 12.7.6 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 13.2.1 до 13.2.6 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 13.3.1 до 13.3.3 включительно | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Hitachi, Ltd. RTU500 series CMU от 13.4.1 до 13.4.2 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.8 | Операционная система, Прикладное ПО информационных систем АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0 |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 16 «Смоленск» | SUSE Linux Enterprise Server for SAP Applications 12 SP3 | SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Suse Linux Enterprise Server 12 SP3 | Suse Linux Enterprise Server 12 SP4 | Red Hat Enterprise Linux 8 | Suse Linux Enterprise Server 12 SP2-BCL | SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Suse Linux Enterprise Server 12 SP5 | SUSE Linux Enterprise Server for SAP Applications 12 SP5 | SUSE Linux Enterprise Server for SAP Applications 12 | openSUSE Tumbleweed — | Suse Linux Enterprise Server 12 SP4-ESPOS | Suse Linux Enterprise Server 12 SP4-LTSS | Suse Linux Enterprise Server 15 SP1-LTSS | Suse Linux Enterprise Server 12 | РЕД ОС 73 | Astra Linux Special Edition 17 | OpenSUSE Leap 154 | SUSE Linux Enterprise Server for SAP Applications 15 SP3 | SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Альт 8 СП — | Suse Linux Enterprise Server 15 SP4 | Suse Linux Enterprise Desktop 15 SP4 | SUSE Linux Enterprise Server for SAP Applications 15 SP4 | Red Hat Enterprise Linux 9 | Suse Linux Enterprise Server 15 SP2-LTSS | openSUSE Leap Micro 52 | openSUSE Leap Micro 53 | Red Hat Enterprise Linux 90 Extended Update Support | Suse Linux Enterprise Server 15 SP3-LTSS | SUSE Linux Enterprise Real Time 15 SP3 | Suse Linux Enterprise Server 11 SP4-LTSS-EXTREME-CORE | ROSA Virtualization 21 | ОСОН ОСнова Оnyx до 28 | ROSA Virtualization 3.0 30 |
Дата выявления: 14.07.2020.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению:
Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20230207.txt

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-4304.html

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4304

Для продуктов Hitachi Energy:
https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Компенсирующие меры:
— использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей;
— использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала;
— исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет);
— использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов;
— использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов

— не используйте алгоритм шифрования RSA для обмена ключами. Вместо этого используйте алгоритм DH (Diffie–Hellman) или ECDH (Elliptic Curve Diffie-Hellman), которые дополнительно обеспечивают свойство Perfect Forward Secrecy.

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openssl до версии 1.1.1n-0+deb11u5

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211

Для Astra Linux 1.6 «Смоленск»:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Astra Linux Special Edition 1.7:
обновить пакет openssl до 1.1.1n-0+deb11u4-astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-4304.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-openssl-cve-2022-4304-cve-2022-4450-cve-2023-0286/?sphrase_id=163100
https://medium.com/@c0D3M/bleichenbacher-attack-explained-bc630f88ff25
https://vuldb.com/ru/?id.220350
https://www.suse.com/security/cve/CVE-2022-4304.html
https://access.redhat.com/security/cve/CVE-2022-4304
https://bugzilla.redhat.com/show_bug.cgi?id=2164487
https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02
https://library.e.abb.com/public/2a1f519e70474f7fabf8436b9cece25f/8DBD000150-VU-2023-004-OpenSSL_RTU500_Rev1.pdf?x-sign=0bg1XN9zG7lySsZ+ytx3v2Un6J8ZRZtlMjA1mJZE+u/GqrbJCrKiVnZ4hkI8HNuj
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
https://abf.rosa.ru/advisories/ROSA-SA-2025-2898
https://abf.rosa.ru/advisories/ROSA-SA-2025-2897