Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2024-06988

CVSS: 9.1

02.05.2024

Уязвимость функции SSL_select_next_proto инструментария для протоколов TLS и SSL OpenSSL, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Уязвимость функции SSL_select_next_proto инструментария для протоколов TLS и SSL OpenSSL связана с раскрытием информации. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	02.05.2024
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Для OpenSSL: использование рекомендаций производителя: https://openssl-library.org/news/secadv/20240627.txt Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2024-5535 Для ОС Astra Linux Special Edition 1.8: обновить пакет openssl до 3.2.0-2-astra5+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/ Обновление программного обеспечения openssl до версии 1.1.1w-0+deb11u2

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-200	Разглашение важной информации лицам без соответствующих прав

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2024-5535	SSL_select_next_proto buffer overread

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20250602-88	02.06.2025	Отказ в обслуживании в Dell Secure Connect Gateway

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
9.4	HIGH	2.0	AV:N/AC:L/Au:N/C:C/I:N/A:C
9.1	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2024-5535

Вендор:	Сообщество свободного программного обеспечения ООО «Ред Софт» АО «ИВК» OpenSSL Software Foundation ООО «РусБИТех-Астра» АО "НППКТ"
Тип ПО:	Операционная система Программное средство защиты
Наименование ПО:	Debian GNU/Linux РЕД ОС АЛЬТ СП 10 OpenSSL Astra Linux Special Edition ОСОН ОСнова Оnyx
Версия ПО:	11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) - (АЛЬТ СП 10) от 3.0 до 3.0.15 (OpenSSL) от 3.1 до 3.1.7 (OpenSSL) от 3.2 до 3.2.3 (OpenSSL) от 3.3 до 3.3.2 (OpenSSL) 1.8 (Astra Linux Special Edition) от 1.0.2 до 1.0.2zk (OpenSSL) от 1.1.1 до 1.1.1za (OpenSSL) до 2.12 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:	Debian GNU/Linux (11) Debian GNU/Linux (12) РЕД ОС (7.3) АЛЬТ СП 10 (-) Astra Linux Special Edition (1.8) ОСОН ОСнова Оnyx (до 2.12)
Ссылки на источники:	https://github.com/openssl/openssl/commit/0d883f6309b6905d29ffded6d703ded39385579c https://github.com/openssl/openssl/commit/214c724e00d594c3eecf4b740ee7af772f0ee04a https://github.com/openssl/openssl/commit/238fa464d6e38aa2c92af70ef9580c74cff512e4 https://github.com/openssl/openssl/commit/2ebbe2d7ca8551c4cb5fbb391ab9af411708090e https://github.com/openssl/openssl/commit/4ada436a1946cbb24db5ab4ca082b69c1bc10f37 https://github.com/openssl/openssl/commit/9925c97a8e8c9887765a0979c35b516bc8c3af85 https://github.com/openssl/openssl/commit/99fb785a5f85315b95288921a321a935ea29a51e https://github.com/openssl/openssl/commit/a210f580f450bbd08fac85f06e27107b8c580f9b https://github.com/openssl/openssl/commit/c6e1ea223510bb7104bf0c41c0c45eda5a16b718 https://github.com/openssl/openssl/commit/cf6f91f6121f4db167405db2f0de410a456f260c https://github.com/openssl/openssl/commit/de71058567b84c6e14b758a383e1862eb3efb921 https://github.com/openssl/openssl/commit/e10a3a84bf73a3e6024c338b51f2fb4e78a3dee9 https://github.com/openssl/openssl/commit/e86ac436f0bd54d4517745483e2315650fae7b2c https://github.com/openssl/openssl/commit/fc8ff75814767d6c55ea78d05adc72cd346d0f0a https://github.openssl.org/openssl/extended-releases/commit/9947251413065a05189a63c9b7a6c1d4e224c21c https://github.openssl.org/openssl/extended-releases/commit/b78ec0824da857223486660177d3b1f255c65d87 https://nvd.nist.gov/vuln/detail/CVE-2024-5535 https://openssl-library.org/news/secadv/20240627.txt https://security.netapp.com/advisory/ntap-20240712-0005/ https://security-tracker.debian.org/tracker/CVE-2024-5535 https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-06988