Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2015-09905

CVSS: 7.5

01.12.2013

Уязвимости системы автоматизации деятельности предприятия 1С:Предприятие, позволяющие злоумышленнику вызвать отказ в обслуживании или получить доступ к зашифрованным данным без знания ключа шифрования

Множественные уязвимости криптографического пакета OpenSSL системы автоматизации деятельности предприятия 1C:Предприятие, позволяющие злоумышленнику, действующему удалённо, вызвать отказ в обслуживании или получить доступ к зашифрованным данным без знания ключа шифрования

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	01.12.2013
Класс уязвимости:	Уязвимость многофакторная
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Данные уточняются
Способ устранения:	Нет данных
Меры по устранению:	Установка релиза 8.2.19.116 защищенного программного комплекса «1С:Предприятие, версия 8.2z». Зарегистрированные пользователи могут загрузить указанный релиз с сайта www.online.1c.ru

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-310	Cryptographic Issues

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2005-2969	The SSL/TLS server implementation in OpenSSL 0.9.7 before 0.9.7h and 0.9.8 before 0.9.8a, when using the SSL_OP_MSIE_SSLV2_RS...
CVE-2006-2940	OpenSSL 0.9.7 before 0.9.7l, 0.9.8 before 0.9.8d, and earlier versions allows attackers to cause a denial of service (CPU con...
CVE-2006-3738	Buffer overflow in the SSL_get_shared_ciphers function in OpenSSL 0.9.7 before 0.9.7l, 0.9.8 before 0.9.8d, and earlier versi...
CVE-2007-4995	Off-by-one error in the DTLS implementation in OpenSSL 0.9.8 before 0.9.8f allows remote attackers to execute arbitrary code...
CVE-2008-5077	OpenSSL 0.9.8i and earlier does not properly check the return value from the EVP_VerifyFinal function, which allows remote at...
CVE-2009-2417	lib/ssluse.c in cURL and libcurl 7.4 through 7.19.5, when OpenSSL is used, does not properly handle a '\0' character in a dom...
CVE-2009-3245	OpenSSL before 0.9.8m does not check for a NULL return value from bn_wexpand function calls in (1) crypto/bn/bn_div.c, (2) cr...
CVE-2009-3555	The TLS protocol, and the SSL protocol 3.0 and possibly earlier, as used in Microsoft Internet Information Services (IIS) 7.0...
CVE-2010-4180	OpenSSL before 0.9.8q, and 1.0.x before 1.0.0c, when SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG is enabled, does not properly pr...
CVE-2011-2192	The Curl_input_negotiate function in http_negotiate.c in libcurl 7.10.6 through 7.21.6, as used in curl and other products, a...
CVE-2011-4109	Double free vulnerability in OpenSSL 0.9.8 before 0.9.8s, when X509_V_FLAG_POLICY_CHECK is enabled, allows remote attackers t...
CVE-2011-4576	The SSL 3.0 implementation in OpenSSL before 0.9.8s and 1.x before 1.0.0f does not properly initialize data structures for bl...
CVE-2013-1944	The tailMatch function in cookie.c in cURL and libcurl before 7.30.0 does not properly match the path domain when sending coo...
CVE-2013-2174	Heap-based buffer overflow in the curl_easy_unescape function in lib/escape.c in cURL and libcurl 7.7 through 7.30.0 allows r...
CVE-2014-3570	The BN_sqr implementation in OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k does not properly calculate...
CVE-2014-3571	OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k allows remote attackers to cause a denial of service (NU...
CVE-2014-3572	The ssl3_get_key_exchange function in s3_clnt.c in OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k allow...
CVE-2014-8275	OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k does not enforce certain constraints on certificate data...
CVE-2015-0204	The ssl3_get_key_exchange function in s3_clnt.c in OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k allow...
CVE-2015-0205	The ssl3_get_cert_verify function in s3_srvr.c in OpenSSL 1.0.0 before 1.0.0p and 1.0.1 before 1.0.1k accepts client authenti...
CVE-2015-0206	Memory leak in the dtls1_buffer_record function in d1_pkt.c in OpenSSL 1.0.0 before 1.0.0p and 1.0.1 before 1.0.1k allows rem...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.5	HIGH	2.0	AV:N/AC:L/Au:N/C:P/I:P/A:P

Идентификаторы других систем описаний уязвимостей

CVE-2005-2969 CVE-2006-2940 CVE-2006-3738 CVE-2007-4995 CVE-2008-5077 CVE-2009-2417 CVE-2009-3245 CVE-2009-3555 CVE-2010-4180 CVE-2011-2192 CVE-2011-4109 CVE-2011-4576 CVE-2013-1944 CVE-2013-2174 CVE-2014-3570 CVE-2014-3571 CVE-2014-3572 CVE-2014-8275 CVE-2015-0204 CVE-2015-0205 CVE-2015-0206

Вендор:	ООО «1С»
Тип ПО:	Прикладное ПО информационных систем
Наименование ПО:	1С:Предприятие
Версия ПО:	8.2.18.96 (1С:Предприятие)
ОС и аппаратные платформы:	Windows (.)
Ссылки на источники:	http://www.cvedetails.com/details.php?t=1&cve_id=2005–2969 http://www.cvedetails.com/details.php?t=1&cve_id=2006–2940 http://www.cvedetails.com/details.php?t=1&cve_id=2006–3738 http://www.cvedetails.com/details.php?t=1&cve_id=2007–4995 http://www.cvedetails.com/details.php?t=1&cve_id=2008–5077 http://www.cvedetails.com/details.php?t=1&cve_id=2009–2417 http://www.cvedetails.com/details.php?t=1&cve_id=2009–3245 http://www.cvedetails.com/details.php?t=1&cve_id=2009–3555 http://www.cvedetails.com/details.php?t=1&cve_id=2010–4180 http://www.cvedetails.com/details.php?t=1&cve_id=2011–2192 http://www.cvedetails.com/details.php?t=1&cve_id=2011–4109 http://www.cvedetails.com/details.php?t=1&cve_id=2011–4576 http://www.cvedetails.com/details.php?t=1&cve_id=2013–1944 http://www.cvedetails.com/details.php?t=1&cve_id=2013–2174 http://www.cvedetails.com/details.php?t=1&cve_id=2014–3570 http://www.cvedetails.com/details.php?t=1&cve_id=2014–3571 http://www.cvedetails.com/details.php?t=1&cve_id=2014–3572 http://www.cvedetails.com/details.php?t=1&cve_id=2014–8275 http://www.cvedetails.com/details.php?t=1&cve_id=2015–0204 http://www.cvedetails.com/details.php?t=1&cve_id=2015–0205 http://www.cvedetails.com/details.php?t=1&cve_id=2015–0206

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2015-09905

BDU:2015-09905

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей