ГлавнаяБаза уязвимостей БДУ → BDU:2016-01654
5средняя

BDU:2016-01654

Уязвимость реализации ASN1_TFLG_COMBINE библиотеки OpenSSL, позволяющая нарушителю получить защищаемую информацию из памяти процесса
Опубликовано: 2016-07-19
Описание

Уязвимость реализации ASN1_TFLG_COMBINE (crypto/asn1/tasn_dec.c) библиотеки OpenSSL связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить защищаемую информацию из памяти процесса

Затрагиваемое ПО и версии
OS X (до 10.11.3 включительно)OpenSSL (от 1.0.1 до 1.0.1q)OpenSSL (от 1.0.2 до 1.0.2e)API Gateway (11.1.2.4.0)API Gateway (11.1.2.3.0)Sun Ray Software (11.1)Exalogic Infrastructure (1.0)Exalogic Infrastructure (2.0)VM VirtualBox (до 4.3.36 включительно)VM VirtualBox (до 5.0.14 включительно)Transportation Management (6.2)Transportation Management (6.1)Life Sciences Data Hub (2.1)OpenSSL (до 0.9.8zh)OpenSSL (от 1.0.0 до 1.0.0t)MOXA EDR-810 (4.1)
Способ устранения

Использование рекомендаций:

Для MOXA:
https://www.moxa.com/en/support/product-support/security-advisory/edr-810-series-security-router-vulnerabilities-(1)

Для OpenSSL:
обновление библиотеки OpenSSL до актуальной версии

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.htmlhttp://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.htmlhttps://support.apple.com/HT206167https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA40100https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05131085https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05111017https://git.openssl.org/?p=openssl.git;a=commit;h=cc598f321fbac9c04da5766243ed55d55948637dhttp://openssl.org/news/secadv/20151203.txt
Проверьте безопасность своего сайта и почты → Полная проверка домена