Уязвимость BDU:2022-02462

Дата: 16.09.2016. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-02462.

Наименование уязвимости: Уязвимость функции tls_decrypt_ticket (ssl/t1_lib.c) библиотеки OpenSSL существует из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции tls_decrypt_ticket (ssl/t1_lib.c) библиотеки OpenSSL существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1n | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1o | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2b | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2c | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1m | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2a | Операционная система Canonical Ltd. Ubuntu 12.04 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Debian GNU/Linux 9 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2h | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2g | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2f | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2e | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.2d | Операционная система Novell Inc. OpenSUSE Leap 15.0 | Операционная система Canonical Ltd. Ubuntu 14.04 ESM | Операционная система Debian GNU/Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 7 | Операционная система Canonical Ltd. Ubuntu 16.04 ESM | Операционная система Debian GNU/Linux 11 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1c | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1d | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1l | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1t | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1e | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1f | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1a | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1b | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1i | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1j | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1k | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1r | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1s | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1g | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1h | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1p | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.0.1q |

Наименование ОС и тип аппаратной платформы: Ubuntu 1204 32-bit | Red Hat Enterprise Linux 6 | Red Hat Enterprise Linux 7 | Debian GNU/Linux 9 | OpenSUSE Leap 150 32-bit | Ubuntu 1404 ESM | Debian GNU/Linux 8 | Debian GNU/Linux 10 | Debian GNU/Linux 7 | Ubuntu 1604 ESM | Debian GNU/Linux 11 |
Дата выявления: 16.09.2016.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
https://git.openssl.org/?p=openssl.git;a=commit;h=e97763c92c655dcf4af2860b3abd2bc4c8a267f9https://www.openssl.org/news/secadv/20160922.txt

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2016-6302

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2016-6302.xml

Для Ubuntu
https://ubuntu.com/security/CVE-2016-6302

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2016-6302.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2016-6302.

Тип ошибки CWE: CWE-20
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://git.openssl.org/?p=openssl.git;a=commit;h=e97763c92c655dcf4af2860b3abd2bc4c8a267f9
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
http://www.oracle.com/technetwork/topics/security/ovmbulletinoct2016-3090547.html
http://www.oracle.com/technetwork/topics/security/bulletinoct2016-3090566.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2016-3090545.html
http://www.securityfocus.com/bid/92628
http://www.splunk.com/view/SP-CAAAPUE
http://www.splunk.com/view/SP-CAAAPSV
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA40312
https://bto.bluecoat.com/security-advisory/sa132
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10759
https://www.tenable.com/security/tns-2016-16
http://www-01.ibm.com/support/docview.wss?uid=swg21995039
https://www.openssl.org/news/vulnerabilities.html#y2017
http://www.securitytracker.com/id/1036885
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
https://www.tenable.com/security/tns-2016-21
https://www.tenable.com/security/tns-2016-20
https://security.FreeBSD.org/advisories/FreeBSD-SA-16:26.openssl.asc
http://rhn.redhat.com/errata/RHSA-2016-1940.html
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
https://access.redhat.com/errata/RHSA-2018:2187
https://access.redhat.com/errata/RHSA-2018:2186
https://access.redhat.com/errata/RHSA-2018:2185

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.