ГлавнаяБаза уязвимостей БДУ → BDU:2019-01256
7.1высокая

BDU:2019-01256 (CVE-2018-0734)

Уязвимость реализации алгоритма шифрования DSA (Digital Signature Algorithm) библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-04-04
Описание

Уязвимость реализации алгоритма шифрования DSA (Digital Signature Algorithm) библиотеки OpenSSL связана с ошибками управления криптографическими ключами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем восстановления закрытого ключа

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)API Gateway (11.1.2.4.0)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Enterprise Manager Ops Center (12.3.3)Ubuntu (18.10)VM VirtualBox (до 5.2.24)PeopleSoft Enterprise PeopleTools (8.55)PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)MySQL (до 8.0.13 включительно)MySQL (до 5.6.42 включительно)MySQL (до 5.7.24 включительно)Astra Linux Special Edition (1.6 «Смоленск»)Primavera P6 Enterprise Project Portfolio Management (8.4)Primavera P6 Enterprise Project Portfolio Management (15.1)Primavera P6 Enterprise Project Portfolio Management (15.2)Primavera P6 Enterprise Project Portfolio Management (16.1)Primavera P6 Enterprise Project Portfolio Management (16.2)Primavera P6 Enterprise Project Portfolio Management (18.8)OpenSSL (до 1.1.1 включительно)OpenSSL (от 1.0.2 до 1.0.2p включительно)OpenSSL (от 1.1.0 до 1.1.0i включительно)Fedora (29)Enterprise Manager Base Platform (13.2.0.0.0)Enterprise Manager Base Platform (13.3.0.0.0)Enterprise Manager Base Platform (12.1.0.5.0)Node.js (10)
Способ устранения

Использование рекомендаций:
Для openssl:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=43e6a58d4991a451daf4891ff05a48735df871ac
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=8abfe72e8c1de1b95f50aa0d9134803b4d00070f
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ef11e19d1365eea2b1851e6f540a0bf365d303e7
https://www.openssl.org/news/secadv/20181030.txt

Для Debian:
Обновление программного обеспечения (пакета openssl) до 1.1.0j-1~deb9u1 или более поздней версии
Обновление программного обеспечения (пакета openssl1.0) до 1.0.2q-1~deb9u1 или более поздней версии

Для Node.js:
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/

Для Ubuntu:
https://usn.ubuntu.com/3840-1/

Для Debian:
https://www.debian.org/security/2018/dsa-4348
https://www.debian.org/security/2018/dsa-4355

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/security-alerts/cpujan2020.html

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://www.openssl.org/news/secadv/20181030.txthttps://nvd.nist.gov/vuln/detail/CVE-2018-0734https://security-tracker.debian.org/tracker/CVE-2018-0734http://www.securityfocus.com/bid/105758https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=43e6a58d4991a451daf4891ff05a48735df871achttps://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=8abfe72e8c1de1b95f50aa0d9134803b4d00070fhttps://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ef11e19d1365eea2b1851e6f540a0bf365d303e7https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/
Проверьте безопасность своего сайта и почты → Полная проверка домена