Уязвимость BDU:2019-03123

Идентификатор: BDU:2019-03123.

Наименование уязвимости: Уязвимость библиотеки OpenSSL, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных.

Описание уязвимости: Уязвимость библиотеки OpenSSL связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на целостность данных
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Enterprise Manager Ops Center 12.3.3 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise PeopleTools 8.56 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise PeopleTools 8.57 | Операционная система Debian GNU/Linux 8.0 | Операционная система Fedora Project Fedora 29 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Business Intelligence Enterprise Edition 11.1.1.9.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Business Intelligence Enterprise Edition 12.2.1.3.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Business Intelligence Enterprise Edition 12.2.1.4.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Secure Global Desktop 5.4 | Прикладное ПО информационных систем Oracle Corp. Agile Engineering Data Management 6.2.1 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker PCz3.0 | Операционная система Fedora Project Fedora 30 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Enterprise Manager Ops Center 12.4.0 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.0.2 до 1.0.2s включительно | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.1.0 до 1.1.0k включительно | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.1.1 до 1.1.1c включительно | Операционная система Fedora Project Fedora 31 | Прикладное ПО информационных систем Oracle Corp. VM VirtualBox до 5.2.34 | Прикладное ПО информационных систем Oracle Corp. VM VirtualBox до 6.0.14 | Операционная система ООО «Ред Софт» РЕД ОС до 7.2 Муром | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Сетевое программное средство Oracle Corp. Sun ZFS Storage Appliance Kit 8.8.6 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker PCz3.1 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker PCz3.2 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.0 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.1 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.2 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.3 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 7.5 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.0 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.1 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.2 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.3 | Прикладное ПО информационных систем Oracle Corp. Communications Unified Session Manager 7.3.5 | Прикладное ПО информационных систем Oracle Corp. Communications Unified Session Manager 8.2.5 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 7.4 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.0 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.1 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.2 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.3 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 7.4 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.0 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.1 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.2 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.3 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.4 | Прикладное ПО информационных систем Oracle Corp. MySQL Workbench до 8.0.17 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Secure Global Desktop 5.5 | Прикладное ПО информационных систем Oracle Corp. MySQL Connectors до 5.3.13 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Connectors до 8.0.18 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Enterprise Backup до 3.12.4 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Enterprise Backup до 4.1.3 включительно | Операционная система АО «ИВК» Альт 8 СП — |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Debian GNU/Linux 80 | Fedora 29 | Fedora 30 | Debian GNU/Linux 10 | Fedora 31 | РЕД ОС до 72 Муром | Astra Linux Special Edition для «Эльбрус» 81 «Ленинград» | Альт 8 СП — |
Дата выявления: 30.07.2019.
CVSS 2.0: AV:L/AC:L/Au:N/C:N/I:P/A:N
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,3)

Возможные меры по устранению:
Использование рекомендаций:
Для OpenSSL:

https://www.openssl.org/news/secadv/20190730.txt

Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Y3IVFGSERAZLNJCK35TEM2R4726XIH3Z/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EWC42UXL5GHTU5G77VKBF6JYUUNGSHOM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZBEV5QGDRFUZDMNECFXUSN5FMYOZDE4V/

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для Astra Linux:
Обновление программного обеспечения (пакета openssl) до 1.1.1d-0+deb10u3 или более поздней версии

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-1552.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://securitylab.ru/vulnerability/500222.php

https://www.openssl.org/news/secadv/20190730.txt

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=54aa9d51b09d67e90db443f682cface795f5af9e

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=b15a19c148384e73338aa7c5b12652138e35ed28

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=d333ebaf9c77332754a9d5e111e2f53e1de54fdd

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e32bc855a81a2d48d215c506bdeb4f598045f7e9
https://nvd.nist.gov/vuln/detail/CVE-2019-1552
https://security-tracker.debian.org/tracker/CVE-2019-1552
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://www.oracle.com/security-alerts/cpujul2020.html
https://altsp.su/obnovleniya-bezopasnosti/