ГлавнаяБаза уязвимостей БДУ → BDU:2019-01881
7.1высокая

BDU:2019-01881

Уязвимость реализации алгоритма шифрования ECDSA библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-05-31
Описание

Уязвимость реализации алгоритма шифрования ECDSA (Elliptic Curve Digital Signature Algorithm) библиотеки OpenSSL связана с ошибками управления криптографическими ключами. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, восстановить закрытый ключ шифрования

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)API Gateway (11.1.2.4.0)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Enterprise Manager Ops Center (12.3.3)JD Edwards EnterpriseOne Tools (9.2)Ubuntu (18.10)Tuxedo (12.1.1.0)VM VirtualBox (до 5.2.24)PeopleSoft Enterprise PeopleTools (8.55)PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)Astra Linux Special Edition (1.6 «Смоленск»)Primavera P6 Enterprise Project Portfolio Management (8.4)Primavera P6 Enterprise Project Portfolio Management (15.1)Primavera P6 Enterprise Project Portfolio Management (15.2)Primavera P6 Enterprise Project Portfolio Management (16.1)Primavera P6 Enterprise Project Portfolio Management (16.2)Primavera P6 Enterprise Project Portfolio Management (18.8)OpenSSL (от 1.1.0 до 1.1.0i включительно)Business Intelligence Enterprise Edition (11.1.1.9.0)Business Intelligence Enterprise Edition (12.2.1.3.0)Business Intelligence Enterprise Edition (12.2.1.4.0)Enterprise Manager Base Platform (13.2.0.0.0)Enterprise Manager Base Platform (13.3.0.0.0)Enterprise Manager Base Platform (12.1.0.5.0)Node.js (10)
Способ устранения

Использование рекомендации:
Для OpenSSL:
https://www.openssl.org/news/secadv/20181029.txt

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/11/msg00024.html
https://www.debian.org/security/2018/dsa-4348

Для Ubuntu:
https://usn.ubuntu.com/3840-1/

Для Node.js:
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-0735/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-0735

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
http://www.securityfocus.com/bid/105750http://www.securitytracker.com/id/1041986https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=56fb454d281a023b3f950d969693553d3f3ceea1https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=b1d6d55ece1c26fa2829e2b819b038d7b6d692b4https://lists.debian.org/debian-lts-announce/2018/11/msg00024.htmlhttps://nodejs.org/en/blog/vulnerability/november-2018-security-releases/https://security.netapp.com/advisory/ntap-20181105-0002/https://usn.ubuntu.com/3840-1/
Проверьте безопасность своего сайта и почты → Полная проверка домена