СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
10.09.2019
#Dev#ИБ#Облака

Уязвимость BDU:2019-04084

Уязвимость BDU:2019-04084

Идентификатор: BDU:2019-04084.

Наименование уязвимости: Уязвимость функций ec_err.c и ec_lib.c библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость функций ec_err.c и ec_lib.c библиотеки OpenSSL связана с отсутствием мер по шифрованию данных. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» | Операционная система Debian GNU/Linux 9 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Enterprise Manager Ops Center 12.3.3 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise PeopleTools 8.56 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise PeopleTools 8.57 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE OpenStack Cloud 7 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4 | Операционная система Fedora Project Fedora 29 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Business Intelligence Enterprise Edition 11.1.1.9.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Business Intelligence Enterprise Edition 12.2.1.3.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Business Intelligence Enterprise Edition 12.2.1.4.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Secure Global Desktop 5.4 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker PCz3.0 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP1 | Операционная система Novell Inc. OpenSUSE Leap 15.0 | Прикладное ПО информационных систем Novell Inc. SUSE CaaS Platform 3.0 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Point of Sale 12 SP2-CLIENT | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Legacy Software 15 SP1 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Legacy Software 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Point of Sale 11 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 SP1 | Операционная система Novell Inc. OpenSUSE Leap 15.1 | Операционная система Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS | Операционная система Fedora Project Fedora 30 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE OpenStack Cloud 8 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE OpenStack Cloud Crowbar 8 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Enterprise Manager Ops Center 12.4.0 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Legacy Software 12 | Операционная система Novell Inc. Suse Linux Enterprise Server 11-SECURITY | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11-SECURITY | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.0.2 до 1.0.2s включительно | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.1.0 до 1.1.0k включительно | Программное средство защиты OpenSSL Software Foundation OpenSSL от 1.1.1 до 1.1.1c включительно | Операционная система Debian GNU/Linux 10 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 6 | Прикладное ПО информационных систем Novell Inc. HPE Helion Openstack 8 | Прикладное ПО информационных систем Oracle Corp. VM VirtualBox до 5.2.34 | Прикладное ПО информационных систем Oracle Corp. VM VirtualBox до 6.0.14 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-ESPOS | Операционная система ООО «Ред Софт» РЕД ОС до 7.2 Муром | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Сетевое программное средство Oracle Corp. Sun ZFS Storage Appliance Kit 8.8.6 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker PCz3.1 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker PCz3.2 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.0 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.1 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.2 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.3 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 7.5 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.0 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.1 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.2 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.3 | Прикладное ПО информационных систем Oracle Corp. Communications Unified Session Manager 7.3.5 | Прикладное ПО информационных систем Oracle Corp. Communications Unified Session Manager 8.2.5 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 7.4 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.0 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.1 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.2 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Oracle Communications Session Router 8.3 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 7.4 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.0 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.1 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.2 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.3 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router 8.4 | Прикладное ПО информационных систем Oracle Corp. MySQL Workbench до 8.0.17 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Secure Global Desktop 5.5 | Прикладное ПО информационных систем Oracle Corp. MySQL Connectors до 5.3.13 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Connectors до 8.0.18 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Enterprise Backup до 3.12.4 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Enterprise Backup до 4.1.3 включительно | СУБД Oracle Corp. Hyperion Essbase 11.1.2.4 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 15 «Смоленск» | Debian GNU/Linux 9 | Astra Linux Special Edition 16 «Смоленск» | Suse Linux Enterprise Desktop 12 SP4 | SUSE Linux Enterprise Server for SAP Applications 12 SP2 | SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL | SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS | SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS | SUSE Linux Enterprise Server for SAP Applications 12 SP3 | SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Suse Linux Enterprise Server 12 SP4 | Fedora 29 | OpenSUSE Leap 150 | Suse Linux Enterprise Server 12 SP2-BCL | Suse Linux Enterprise Server 12 SP2-ESPOS | SUSE Linux Enterprise Server for SAP Applications 12 SP1 | SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS | OpenSUSE Leap 151 | Suse Linux Enterprise Server 11 SP4-LTSS | Suse Linux Enterprise Server 12 SP1-LTSS | Suse Linux Enterprise Server 12 SP2-LTSS | SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS | Fedora 30 | Suse Linux Enterprise Server 12 SP3-LTSS | Suse Linux Enterprise Server 12 SP3-BCL | SUSE Linux Enterprise Server for SAP Applications 12 SP3-BCL | SUSE Linux Enterprise Server for SAP Applications 12 SP3-LTSS | Suse Linux Enterprise Server 11-SECURITY | SUSE Linux Enterprise Server for SAP Applications 11-SECURITY | Debian GNU/Linux 10 | Suse Linux Enterprise Server 12 SP3-ESPOS | SUSE Linux Enterprise Server for SAP Applications 12 SP3-ESPOS | РЕД ОС до 72 Муром | Astra Linux Special Edition для «Эльбрус» 81 «Ленинград» | ОС ОН «Стрелец» 10 | ОС Аврора до 32331 INOI R7 | ОС Аврора до 32331 Aquarius CMP NS220 | ОС Аврора до 32331 Byterg MVK-2020 | ОС Аврора до 32331 F+ Life Tab Plus | Astra Linux Special Edition 17 | Альт 8 СП — | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 10.09.2019.
CVSS 2.0: AV:L/AC:M/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)

Возможные меры по устранению:
Использование рекомендаций производителя:
Для программных продуктов OpenSSL:
https://www.openssl.org/news/secadv/20190910.txt
Обновление программного обеспечения до 1.1.1d-2 или более поздней версии

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GY6SNRJP2S7Y42GIIDO3HXPNMDYN2U3A/

Для Debian GNU/Linux:
Обновление программного обеспечения (пакета openssl) до 1.1.0l-1~deb9u1 или более поздней версии
https://security-tracker.debian.org/tracker/CVE-2019-1547

Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Для OpenSUSE:
https://www.suse.com/security/cve/CVE-2019-1547/

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuoct2019.html

Для Astra Linux:
Обновление программного обеспечения (пакета openssl) до 1.1.1d-0+deb10u2 или более поздней версии
https://wiki.astralinux.ru/pages/viewpage.action?pageId=117998111
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-1547.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://nvd.nist.gov/vuln/detail/CVE-2019-1547
https://www.suse.com/security/cve/CVE-2019-1547/
https://security-tracker.debian.org/tracker/CVE-2019-1547
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GY6SNRJP2S7Y42GIIDO3HXPNMDYN2U3A/
https://www.openssl.org/news/secadv/20190910.txt
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/pages/viewpage.action?pageId=117998111
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-cognos-analytics-has-addressed-multiple-vulnerabilities-3/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://cve.omprussia.ru/bb4321
https://cve.omprussia.ru/bb5322
https://cve.omprussia.ru/bb6323
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
https://altsp.su/obnovleniya-bezopasnosti/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: