Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-04973

CVSS: 5.3

28.03.2023

Уязвимость функции X509_VERIFY_PARAM_add0_policy() библиотеки OpenSSL, позволяющая нарушителю выполнить атаку типа "человек посередине"

Уязвимость функции X509_VERIFY_PARAM_add0_policy() библиотеки OpenSSL связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить атаку типа «человек посередине»

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	28.03.2023
Класс уязвимости:	Уязвимость архитектуры
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Подмена при взаимодействии
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для OpenSSL: https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fc814a30fc4f0bc54fcea7d9a7462f5457aab061 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=51e8a84ce742db0f6c70510d0159dad8f7825908 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=0d16b7e99aafc0b4a6d729eec65a411a7e025f0a Для ОСОН ОСнова Оnyx: Обновление программного обеспечения openssl до версии 1.1.1n-0+deb11u5 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства Для Python: https://www.python.org/ftp/python/3.11.4/python-3.11.4-amd64.exe Для Node.js: https://nodejs.org/download/release/v18.17.0/node-v18.17.0-x64.msi Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-0466 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J6OR7PVNTELF5NATAMOMQWNTKHVAOW4O/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IGWYXCBOJHBE4KDZDQOUYC43RNMHRDBL/ Для Ubuntu: https://ubuntu.com/security/CVE-2023-0466 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-0466 Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-295	CWE-295 Improper Certificate Validation

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-0466	Certificate policy check not enabled

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
5	MEDIUM	2.0	AV:N/AC:L/Au:N/C:N/I:P/A:N
5.3	MEDIUM	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2023-0466

Вендор:	Red Hat Inc. Canonical Ltd. Сообщество свободного программного обеспечения АО «ИВК» Fedora Project OpenSSL Software Foundation АО «НТЦ ИТ РОСА» АО "НППКТ" Python Software Foundation Node.js Foundation
Тип ПО:	Операционная система Программное средство защиты Прикладное ПО информационных систем Сетевое программное средство
Наименование ПО:	Red Hat Enterprise Linux Ubuntu Debian GNU/Linux Альт 8 СП Fedora OpenSSL РОСА ХРОМ ОСОН ОСнова Оnyx АЛЬТ СП 10 Python Node.js
Версия ПО:	8 (Red Hat Enterprise Linux) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) 20.04 LTS (Ubuntu) 16.04 ESM (Ubuntu) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) - (Альт 8 СП) 22.04 LTS (Ubuntu) 9 (Red Hat Enterprise Linux) 37 (Fedora) 22.10 (Ubuntu) 38 (Fedora) от 1.0.2 до 1.0.2zh (OpenSSL) от 1.1.1 до 1.1.1u (OpenSSL) от 3.0.0 до 3.0.9 (OpenSSL) от 3.1.0 до 3.1.1 (OpenSSL) 18.04 ESM (Ubuntu) 23.04 (Ubuntu) 12.4 (РОСА ХРОМ) до 2.8 (ОСОН ОСнова Оnyx) - (АЛЬТ СП 10) до 3.11.4 (Python) до 18.17.0 (Node.js)
ОС и аппаратные платформы:	Red Hat Enterprise Linux (8) Ubuntu (14.04 ESM) Debian GNU/Linux (10) Ubuntu (20.04 LTS) Ubuntu (16.04 ESM) Debian GNU/Linux (11) Debian GNU/Linux (12) Альт 8 СП (-) Ubuntu (22.04 LTS) Red Hat Enterprise Linux (9) Fedora (37) Ubuntu (22.10) Fedora (38) Ubuntu (18.04 ESM) Ubuntu (23.04) РОСА ХРОМ (12.4) ОСОН ОСнова Оnyx (до 2.8) АЛЬТ СП 10 (-)
Ссылки на источники:	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fc814a30fc4f0bc54fcea7d9a7462f5457aab061 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=51e8a84ce742db0f6c70510d0159dad8f7825908 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=0d16b7e99aafc0b4a6d729eec65a411a7e025f0a https://lists.debian.org/debian-lts-announce/2023/06/msg00011.html https://security.netapp.com/advisory/ntap-20230414-0001/ https://www.debian.org/security/2023/dsa-5417 https://www.openssl.org/news/secadv/20230328.txt https://vuldb.com/ru/?id.224192 https://www.cybersecurity-help.cz/vdb/SB2023072566 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/ https://altsp.su/obnovleniya-bezopasnosti/ https://altsp.su/obnovleniya-bezopasnosti/ https://www.python.org/ftp/python/3.11.4/python-3.11.4-amd64.exe https://nodejs.org/download/release/v18.17.0/node-v18.17.0-x64.msi https://security-tracker.debian.org/tracker/CVE-2023-0466 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J6OR7PVNTELF5NATAMOMQWNTK... https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IGWYXCBOJHBE4KDZDQOUYC43R... https://ubuntu.com/security/CVE-2023-0466 https://access.redhat.com/security/cve/CVE-2023-0466 https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-04973