СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
02.05.2024
#Dev#ИБ

Уязвимость BDU:2024-06988

Уязвимость BDU:2024-06988

Идентификатор: BDU:2024-06988.

Наименование уязвимости: Уязвимость функции SSL_select_next_proto инструментария для протоколов TLS и SSL OpenSSL, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции SSL_select_next_proto инструментария для протоколов TLS и SSL OpenSSL связана с раскрытием информации. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Debian GNU/Linux 11 | Операционная система Debian GNU/Linux 12 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система АО «ИВК» АЛЬТ СП 10 — | Программное средство защиты OpenSSL Software Foundation OpenSSL от 3.0 до 3.0.15 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 3.1 до 3.1.7 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 3.2 до 3.2.3 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 3.3 до 3.3.2 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.0.2 до 1.0.2zk | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.1.1 до 1.1.1za |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 11 | Debian GNU/Linux 12 | РЕД ОС 73 | АЛЬТ СП 10 — | Astra Linux Special Edition 18 |
Дата выявления: 02.05.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению:
Для OpenSSL:
использование рекомендаций производителя: https://openssl-library.org/news/secadv/20240627.txt
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2024-5535
Для ОС Astra Linux Special Edition 1.8:
обновить пакет openssl до 3.2.0-2-astra5+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-5535.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/openssl/openssl/commit/0d883f6309b6905d29ffded6d703ded39385579c
https://github.com/openssl/openssl/commit/214c724e00d594c3eecf4b740ee7af772f0ee04a
https://github.com/openssl/openssl/commit/238fa464d6e38aa2c92af70ef9580c74cff512e4
https://github.com/openssl/openssl/commit/2ebbe2d7ca8551c4cb5fbb391ab9af411708090e
https://github.com/openssl/openssl/commit/4ada436a1946cbb24db5ab4ca082b69c1bc10f37
https://github.com/openssl/openssl/commit/9925c97a8e8c9887765a0979c35b516bc8c3af85
https://github.com/openssl/openssl/commit/99fb785a5f85315b95288921a321a935ea29a51e
https://github.com/openssl/openssl/commit/a210f580f450bbd08fac85f06e27107b8c580f9b
https://github.com/openssl/openssl/commit/c6e1ea223510bb7104bf0c41c0c45eda5a16b718
https://github.com/openssl/openssl/commit/cf6f91f6121f4db167405db2f0de410a456f260c
https://github.com/openssl/openssl/commit/de71058567b84c6e14b758a383e1862eb3efb921
https://github.com/openssl/openssl/commit/e10a3a84bf73a3e6024c338b51f2fb4e78a3dee9
https://github.com/openssl/openssl/commit/e86ac436f0bd54d4517745483e2315650fae7b2c
https://github.com/openssl/openssl/commit/fc8ff75814767d6c55ea78d05adc72cd346d0f0a
https://github.openssl.org/openssl/extended-releases/commit/9947251413065a05189a63c9b7a6c1d4e224c21c
https://github.openssl.org/openssl/extended-releases/commit/b78ec0824da857223486660177d3b1f255c65d87
https://nvd.nist.gov/vuln/detail/CVE-2024-5535
https://openssl-library.org/news/secadv/20240627.txt
https://security.netapp.com/advisory/ntap-20240712-0005/
https://security-tracker.debian.org/tracker/CVE-2024-5535
https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: