СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
16.10.2024
#Dev#ИБ

Уязвимость BDU:2024-08755

Уязвимость BDU:2024-08755

Идентификатор: BDU:2024-08755.

Наименование уязвимости: Уязвимость функций EC_GROUP_new_curve_GF2m(), EC_GROUP_new_from_params(), BN_GF2m_*() интерфейса Elliptic Curve API криптографической библиотеки OpenSSL, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость функций EC_GROUP_new_curve_GF2m(), EC_GROUP_new_from_params(), BN_GF2m_*() интерфейса Elliptic Curve API криптографической библиотеки OpenSSL вызвана переполнением буфера в куче. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: Операционная система АО «ИВК» АЛЬТ СП 10 — | Программное средство защиты OpenSSL Software Foundation OpenSSL от 3.3 до 3.3.3 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 3.2 до 3.2.4 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 3.1 до 3.1.8 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 3.0 до 3.0.16 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.1.1 до 1.1.1zb | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.0.2 до 1.0.2zl |

Наименование ОС и тип аппаратной платформы: АЛЬТ СП 10 — |
Дата выявления: 16.10.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://openssl-library.org/news/secadv/20241016.txt
https://github.com/openssl/openssl/commit/72ae83ad214d2eef262461365a1975707f862712
https://github.com/openssl/openssl/commit/bc7e04d7c8d509fb78fc0e285aa948fb0da04700
https://github.com/openssl/openssl/commit/c0d3e4d32d2805f49bec30547f225bc4d092e1f4
https://github.com/openssl/openssl/commit/fdf6723362ca51bd883295efe206cb5b1cfa5154
https://github.openssl.org/openssl/extended-releases/commit/8efc0cbaa8ebba8e116f7b81a876a4123594d86a
https://github.openssl.org/openssl/extended-releases/commit/9d576994cec2b7aa37a91740ea7e680810957e41

Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-9143.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://vuldb.com/?id.280688
https://nvd.nist.gov/vuln/detail/CVE-2024-9143
https://openssl-library.org/news/secadv/20241016.txt
https://altsp.su/obnovleniya-bezopasnosti/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: