Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2024-02534

CVSS: 7.5

29.11.2023

Уязвимость функций load_pem_pkcs7_certificates() и load_der_pkcs7_certificates() пакет cryptography, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функций load_pem_pkcs7_certificates() и load_der_pkcs7_certificates() пакет cryptography связана с разыменовыванием NULL-указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	29.11.2023
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Для cryptography: https://github.com/pyca/cryptography/commit/f09c261ca10a31fe41b1262306db7f8f1da0e48a https://github.com/pyca/cryptography/pull/9926 https://github.com/pyca/cryptography/security/advisories/GHSA-jfhm-5ghh-2f97 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-476	CWE-476: NULL Pointer Dereference

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-49083	cryptography vulnerable to NULL-dereference when loading PKCS7 certificates

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.8	HIGH	2.0	AV:N/AC:L/Au:N/C:N/I:N/A:C
7.5	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2023-49083

Вендор:	ООО «Ред Софт» АО «ИВК» Сообщество свободного программного обеспечения
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	РЕД ОС АЛЬТ СП 10 cryptography
Версия ПО:	7.3 (РЕД ОС) - (АЛЬТ СП 10) от 3.1 до 41.0.6 (cryptography)
ОС и аппаратные платформы:	РЕД ОС (7.3) АЛЬТ СП 10 (-)
Ссылки на источники:	https://github.com/pyca/cryptography/commit/f09c261ca10a31fe41b1262306db7f8f1da0e48a https://github.com/pyca/cryptography/pull/9926 https://github.com/pyca/cryptography/security/advisories/GHSA-jfhm-5ghh-2f97 https://redos.red-soft.ru/support/secure/ https://altsp.su/obnovleniya-bezopasnosti/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-02534