СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
10.09.2019
#Dev#ИБ

Уязвимость BDU:2019-04083

Уязвимость BDU:2019-04083

Идентификатор: BDU:2019-04083.

Наименование уязвимости: Уязвимость функции fork() библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость функции fork() библиотеки OpenSSL связана с использованием недостаточно случайных значений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Enterprise Manager Ops Center 12.3.3 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise PeopleTools 8.56 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise PeopleTools 8.57 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 12 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise SDK 12 SP4 | Операционная система Fedora Project Fedora 29 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Business Intelligence Enterprise Edition 11.1.1.9.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Business Intelligence Enterprise Edition 12.2.1.3.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Business Intelligence Enterprise Edition 12.2.1.4.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Secure Global Desktop 5.4 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker PCz3.0 | Операционная система Fedora Project Fedora 30 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Enterprise Manager Ops Center 12.4.0 | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.1.1 до 1.1.1c включительно | Операционная система Debian GNU/Linux 10 | Прикладное ПО информационных систем Oracle Corp. VM VirtualBox до 5.2.34 | Прикладное ПО информационных систем Oracle Corp. VM VirtualBox до 6.0.14 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Сетевое программное средство Oracle Corp. Sun ZFS Storage Appliance Kit 8.8.6 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker PCz3.1 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker PCz3.2 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.0 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.1 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.2 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.3 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 7.5 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.0 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.1 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.2 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.3 | Прикладное ПО информационных систем Oracle Corp. Communications Unified Session Manager 7.3.5 | Прикладное ПО информационных систем Oracle Corp. Communications Unified Session Manager 8.2.5 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 7.4 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.0 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.1 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.2 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.3 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 7.4 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.0 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.1 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.2 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.3 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.4 | Прикладное ПО информационных систем Oracle Corp. MySQL Workbench до 8.0.17 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Secure Global Desktop 5.5 | Прикладное ПО информационных систем Oracle Corp. MySQL Connectors до 5.3.13 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Connectors до 8.0.18 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Enterprise Backup до 3.12.4 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Enterprise Backup до 4.1.3 включительно | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Astra Linux Special Edition 16 «Смоленск» | Suse Linux Enterprise Desktop 12 SP4 | SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Fedora 29 | Fedora 30 | Debian GNU/Linux 10 | Astra Linux Special Edition для «Эльбрус» 81 «Ленинград» | ОС ОН «Стрелец» 10 | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 10.09.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению:
Использование рекомендаций производителя:
Для программных продуктов OpenSSL:
https://www.openssl.org/news/secadv/20190910.txt

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GY6SNRJP2S7Y42GIIDO3HXPNMDYN2U3A/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html

Для программных продуктов Novell Inc:
https://www.suse.com/security/cve/CVE-2019-1549/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-1549

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-1549.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://nvd.nist.gov/vuln/detail/CVE-2019-1549
https://www.suse.com/security/cve/CVE-2019-1549/
https://security-tracker.debian.org/tracker/CVE-2019-1549
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GY6SNRJP2S7Y42GIIDO3HXPNMDYN2U3A/
https://www.openssl.org/news/secadv/20190910.txt
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: