ГлавнаяБаза уязвимостей БДУ → BDU:2019-00323
5высокая

BDU:2019-00323 (CVE-2018-1000180)

Уязвимость метода RsaKeyPairGenerator::getNumberOfIterations() библиотеки Bouncy Castle, позволяющая нарушителю получить несанкционированный доступ к защищаемым данным
Опубликовано: 2019-01-28
Описание

Уязвимость метода RsaKeyPairGenerator::getNumberOfIterations() библиотеки Bouncy Castle связана с недостатками использования криптографических ключей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемым данным с использованием сетевых протоколов (HTTP, HTTPS)

Затрагиваемое ПО и версии
API Gateway (11.1.2.4.0)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Enterprise Repository (12.1.3.0.0)Business Process Management Suite (11.1.1.9.0)Business Process Management Suite (12.1.3.0.0)Business Process Management Suite (12.2.1.3.0)WebLogic Server (12.2.1.3)PeopleSoft Enterprise PeopleTools (8.55)PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)Bouncy Castle (до 1.54 включительно)WebCenter Portal (12.1.3.0.0)Managed File Transfer (12.2.1.3.0)WebCenter Portal (11.1.1.9.0)WebCenter Portal (12.2.1.3.0)Red Hat Virtualization (4)Enterprise Manager Base Platform (13.2.0.0.0)Enterprise Manager Base Platform (13.3.0.0.0)Retail Xstore Point of Service (7.0)Managed File Transfer (12.1.3.0.0)Enterprise Manager Base Platform (12.1.0.5.0)Oracle Utilities Network Management System (1.12.0.3)Communications Converged Application Server (до 7.0.0.1)Communications WebRTC Session Controller (до 7.2)Communications Application Session Controller (3.7.1)Communications Application Session Controller (3.8.0)Business Transaction Management (12.1.0)SOA Suite (12.1.3.0.0)SOA Suite (12.2.1.3.0)
Способ устранения

Использование рекомендаций:
https://www.bouncycastle.org/jira/browse/BJA-694

Для OpenSUSE:
https://www.suse.com/security/cve/CVE-2018-1000180/

Для Oracle:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4233
https://www.debian.org/security/2018/dsa-4233

Для продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2018-1000180

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.htmlhttps://www.suse.com/security/cve/CVE-2018-1000180/https://www.oracle.com/security-alerts/cpuapr2020.htmlhttps://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.htmlhttps://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.htmlhttps://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.htmlhttps://www.debian.org/security/2018/dsa-4233https://access.redhat.com/security/cve/CVE-2018-1000180
Проверьте безопасность своего сайта и почты → Полная проверка домена