Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-03652

CVSS: 7.5

30.05.2023

Уязвимость библиотеки OpenSSL, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость библиотеки OpenSSL связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально созданных данных

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	30.05.2023
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Исчерпание ресурсов
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для OpenSSL: https://www.openssl.org/news/secadv/20230530.txt https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=423a2bc737a908ad0c77bda470b2b59dc879936b https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=9e209944b35cf82368071f160a744b6178f9b098 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=db779b0e10b047f2585615e0b8f2acdf21f8544a Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для программных продуктов Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-2650 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-2650 Для Альт 8 СП: https://cve.basealt.ru/report-06062023-c9f2.html Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-2650.html Для программных продуктов Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IGWYXCBOJHBE4KDZDQOUYC43RNMHRDBL/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J6OR7PVNTELF5NATAMOMQWNTKHVAOW4O/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОСОН ОСнова Оnyx: Обновление программного обеспечения openssl до версии 1.1.1n-0+deb11u5 Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства Для ОС Astra Linux Special Edition 1.7: обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17 Для Astra Linux 1.6 «Смоленск»: обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16 Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства Для Python: https://www.python.org/ftp/python/3.11.4/python-3.11.4-amd64.exe Для Node.js: https://nodejs.org/download/release/v18.17.0/node-v18.17.0-x64.msi Компенсирующие меры для Harbor : - отключение/удаление неиспользуемых учетных записей пользователей; - минимизация пользовательских привилегий; - использование антивирусных средств защиты; - контроль действий пользователей. Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366 Для Astra Linux Special Edition 4.7: обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Прочая информация:	Данной уязвимости подвержены приложения, которые напрямую используют OBJ_obj2txt() или любую из подсистем OpenSSL OCSP, PKCS7 /SMIME, CMS, CMP / CRMF или TS.

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-399	Уязвимости, связанные с управлением ресурсами
CWE-400	Неконтролируемое использование ресурсов (исчерпание ресурсов)
CWE-770	Выделение ресурсов без ограничений или регулировки

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-2650	Possible DoS translating ASN.1 object identifiers

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.8	HIGH	2.0	AV:N/AC:L/Au:N/C:N/I:N/A:C
7.5	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2023-2650

Вендор:	ООО «РусБИТех-Астра» Novell Inc. Сообщество свободного программного обеспечения ООО «Ред Софт» АО «ИВК» Red Hat Inc. Fedora Project OpenSSL Software Foundation АО «НТЦ ИТ РОСА» АО "НППКТ" Project Harbor Python Software Foundation Node.js Foundation
Тип ПО:	Операционная система Программное средство защиты Микропрограммный код аппаратных компонент компьютера Сетевое средство Сетевое программное средство Прикладное ПО информационных систем
Наименование ПО:	Astra Linux Special Edition Suse Linux Enterprise Desktop SUSE Linux Enterprise Server for SAP Applications OpenSUSE Leap Suse Linux Enterprise Server Debian GNU/Linux РЕД ОС Альт 8 СП Red Hat Enterprise Linux Fedora openSUSE Leap Micro OpenSSL Red Hat JBoss Core Services Red Hat JBoss Web Server РОСА ХРОМ ОСОН ОСнова Оnyx АЛЬТ СП 10 harbor Python Node.js
Версия ПО:	1.6 «Смоленск» (Astra Linux Special Edition) 12 SP3 (Suse Linux Enterprise Desktop) 12 SP4 (Suse Linux Enterprise Desktop) 12 SP2 (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 15.5 (OpenSUSE Leap) 12 SP3 (Suse Linux Enterprise Server) 12 SP4 (Suse Linux Enterprise Server) 11 SP4 (Suse Linux Enterprise Server) 12 SP2-BCL (Suse Linux Enterprise Server) 12 SP2-ESPOS (Suse Linux Enterprise Server) 11 SP4 (SUSE Linux Enterprise Server for SAP Applications) 12 SP1 (SUSE Linux Enterprise Server for SAP Applications) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 11 SP4-LTSS (Suse Linux Enterprise Server) 12 SP1-LTSS (Suse Linux Enterprise Server) 12 SP2-LTSS (Suse Linux Enterprise Server) 12 SP3-LTSS (Suse Linux Enterprise Server) 12 SP3-BCL (Suse Linux Enterprise Server) 12 SP5 (Suse Linux Enterprise Server) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 11 SP3-LTSS (Suse Linux Enterprise Server) 10 (Debian GNU/Linux) 12 SP3-ESPOS (Suse Linux Enterprise Server) 12 SP2 (Suse Linux Enterprise Desktop) 12 SP2 (Suse Linux Enterprise Server) 15-LTSS (Suse Linux Enterprise Server) 12 SP1 (Suse Linux Enterprise Desktop) 12 SP1 (Suse Linux Enterprise Server) 12 (SUSE Linux Enterprise Server for SAP Applications) 11 SP4 (Suse Linux Enterprise Desktop) 11 SP3 (Suse Linux Enterprise Server) 12 (Suse Linux Enterprise Desktop) 12 SP4-ESPOS (Suse Linux Enterprise Server) 12 SP4-LTSS (Suse Linux Enterprise Server) 15 SP1-BCL (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 15 SP1 (Suse Linux Enterprise Server) 11 (Debian GNU/Linux) 12 (Suse Linux Enterprise Server) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) 15.4 (OpenSUSE Leap) 15 SP3 (Suse Linux Enterprise Server) 15 SP3 (SUSE Linux Enterprise Server for SAP Applications) 15 SP3 (Suse Linux Enterprise Desktop) 15 SP2 (Suse Linux Enterprise Server) 15 SP2 (SUSE Linux Enterprise Server for SAP Applications) - (Альт 8 СП) 15 SP4 (Suse Linux Enterprise Server) 15 SP2 (Suse Linux Enterprise Desktop) 15 SP4 (Suse Linux Enterprise Desktop) 15 (Suse Linux Enterprise Server) 15 SP2-BCL (Suse Linux Enterprise Server) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 9 (Red Hat Enterprise Linux) 15 SP2-LTSS (Suse Linux Enterprise Server) 15 SP1 (Suse Linux Enterprise Desktop) 15 (Suse Linux Enterprise Desktop) 37 (Fedora) 4.7 (Astra Linux Special Edition) 5.3 (openSUSE Leap Micro) 15 SP3-LTSS (Suse Linux Enterprise Server) 11 SP4-LTSS-EXTREME-CORE (Suse Linux Enterprise Server) 15 SP3-BCL (Suse Linux Enterprise Server) 38 (Fedora) 15 SP5 (SUSE Linux Enterprise Server for SAP Applications) 15 SP5 (Suse Linux Enterprise Server) 15 SP5 (Suse Linux Enterprise Desktop) от 1.0.2 до 1.0.2zh (OpenSSL) от 1.1.1 до 1.1.1u (OpenSSL) от 3.0.0 до 3.0.9 (OpenSSL) от 3.1.0 до 3.1.1 (OpenSSL) - (Red Hat JBoss Core Services) 5 (Red Hat JBoss Web Server) 5.4 (openSUSE Leap Micro) 12.4 (РОСА ХРОМ) до 2.8 (ОСОН ОСнова Оnyx) - (АЛЬТ СП 10) 2.7.0 (harbor) до 3.11.4 (Python) до 18.17.0 (Node.js)
ОС и аппаратные платформы:	Astra Linux Special Edition (1.6 «Смоленск») Suse Linux Enterprise Desktop (12 SP3) Suse Linux Enterprise Desktop (12 SP4) SUSE Linux Enterprise Server for SAP Applications (12 SP2) SUSE Linux Enterprise Server for SAP Applications (12 SP3) SUSE Linux Enterprise Server for SAP Applications (12 SP4) OpenSUSE Leap (15.5) Suse Linux Enterprise Server (12 SP3) Suse Linux Enterprise Server (12 SP4) Suse Linux Enterprise Server (11 SP4) Suse Linux Enterprise Server (12 SP2-BCL) Suse Linux Enterprise Server (12 SP2-ESPOS) SUSE Linux Enterprise Server for SAP Applications (11 SP4) SUSE Linux Enterprise Server for SAP Applications (12 SP1) SUSE Linux Enterprise Server for SAP Applications (15) SUSE Linux Enterprise Server for SAP Applications (15 SP1) Suse Linux Enterprise Server (11 SP4-LTSS) Suse Linux Enterprise Server (12 SP1-LTSS) Suse Linux Enterprise Server (12 SP2-LTSS) Suse Linux Enterprise Server (12 SP3-LTSS) Suse Linux Enterprise Server (12 SP3-BCL) Suse Linux Enterprise Server (12 SP5) SUSE Linux Enterprise Server for SAP Applications (12 SP5) Suse Linux Enterprise Server (11 SP3-LTSS) Debian GNU/Linux (10) Suse Linux Enterprise Server (12 SP3-ESPOS) Suse Linux Enterprise Desktop (12 SP2) Suse Linux Enterprise Server (12 SP2) Suse Linux Enterprise Server (15-LTSS) Suse Linux Enterprise Desktop (12 SP1) Suse Linux Enterprise Server (12 SP1) SUSE Linux Enterprise Server for SAP Applications (12) Suse Linux Enterprise Desktop (11 SP4) Suse Linux Enterprise Server (11 SP3) Suse Linux Enterprise Desktop (12) Suse Linux Enterprise Server (12 SP4-ESPOS) Suse Linux Enterprise Server (12 SP4-LTSS) Suse Linux Enterprise Server (15 SP1-BCL) Suse Linux Enterprise Server (15 SP1-LTSS) Suse Linux Enterprise Server (15 SP1) Debian GNU/Linux (11) Suse Linux Enterprise Server (12) РЕД ОС (7.3) Astra Linux Special Edition (1.7) OpenSUSE Leap (15.4) Suse Linux Enterprise Server (15 SP3) SUSE Linux Enterprise Server for SAP Applications (15 SP3) Suse Linux Enterprise Desktop (15 SP3) Suse Linux Enterprise Server (15 SP2) SUSE Linux Enterprise Server for SAP Applications (15 SP2) Альт 8 СП (-) Suse Linux Enterprise Server (15 SP4) Suse Linux Enterprise Desktop (15 SP2) Suse Linux Enterprise Desktop (15 SP4) Suse Linux Enterprise Server (15) Suse Linux Enterprise Server (15 SP2-BCL) SUSE Linux Enterprise Server for SAP Applications (15 SP4) Red Hat Enterprise Linux (9) Suse Linux Enterprise Server (15 SP2-LTSS) Suse Linux Enterprise Desktop (15 SP1) Suse Linux Enterprise Desktop (15) Fedora (37) Astra Linux Special Edition (4.7) openSUSE Leap Micro (5.3) Suse Linux Enterprise Server (15 SP3-LTSS) Suse Linux Enterprise Server (11 SP4-LTSS-EXTREME-CORE) Suse Linux Enterprise Server (15 SP3-BCL) Fedora (38) SUSE Linux Enterprise Server for SAP Applications (15 SP5) Suse Linux Enterprise Server (15 SP5) Suse Linux Enterprise Desktop (15 SP5) openSUSE Leap Micro (5.4) РОСА ХРОМ (12.4) ОСОН ОСнова Оnyx (до 2.8) АЛЬТ СП 10 (-)
Ссылки на источники:	https://www.openssl.org/news/secadv/20230530.txt https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=423a2bc737a908ad0c77bda470b2b59dc879936b https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=9e209944b35cf82368071f160a744b6178f9b098 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=db779b0e10b047f2585615e0b8f2acdf21f8544a https://redos.red-soft.ru/support/secure/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ http://www.openwall.com/lists/oss-security/2023/05/30/1 https://www.cybersecurity-help.cz/vdb/SB2023062273 https://security-tracker.debian.org/tracker/CVE-2023-2650 https://lists.debian.org/debian-lts-announce/2023/06/msg00011.html https://access.redhat.com/security/cve/CVE-2023-2650 https://cve.basealt.ru/report-06062023-c9f2.html https://www.suse.com/security/cve/CVE-2023-2650.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IGWYXCBOJHBE4KDZDQOUYC43R... https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J6OR7PVNTELF5NATAMOMQWNTK... https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/ https://altsp.su/obnovleniya-bezopasnosti/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16 https://altsp.su/obnovleniya-bezopasnosti/ https://www.python.org/ftp/python/3.11.4/python-3.11.4-amd64.exe https://nodejs.org/download/release/v18.17.0/node-v18.17.0-x64.msi https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-03652