7.1высокая
BDU:2019-00985
Уязвимость функции SSL_shutdown средства криптографической защиты OpenSSL, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2019-03-12
Описание
Уязвимость функции SSL_shutdown() средства криптографической защиты OpenSSL связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию
Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)API Gateway (11.1.2.4.0)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Enterprise Manager Ops Center (12.3.3)JD Edwards EnterpriseOne Tools (9.2)Ubuntu (18.10)PeopleSoft Enterprise PeopleTools (8.55)PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP (V2.6.0)OpenSSL (от 1.0.2 до 1.0.2q включительно)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Red Hat Virtualization (4)
Способ устранения
Использование рекомендаций:
https://usn.ubuntu.com/3899-1/
https://www.openssl.org/news/secadv/20190226.txt
Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет openssl1.0 до 1.0.2s-1~deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Оценка CVSS
| Балл | 7.1 — высокая опасность |
Источники и патчи