ГлавнаяБаза уязвимостей БДУ → BDU:2019-03218
10критическая

BDU:2019-03218 (CVE-2018-16395)

Уязвимость компонента OpenSSL::X509::Name библиотеки OpenSSL интерпретатора языка программирования Ruby, позволяющая нарушителю осуществить подделку сертификата X509
Опубликовано: 2019-09-19
Описание

Уязвимость компонента OpenSSL::X509::Name библиотеки OpenSSL интерпретатора языка программирования Ruby связана с ошибками обработки данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить подделку сертификата X509

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Ubuntu (18.10)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)OpenSUSE Leap (15.0)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15 SP1)OpenSUSE Leap (15.1)Red Hat Enterprise Linux (7.4 EUS)Red Hat Enterprise Linux (7.5 EUS)Red Hat Enterprise Linux (7.6 EUS)Debian GNU/Linux (8)Ruby (от 2.3.0 до 2.3.7 включительно)Ruby (от 2.4.0 до 2.4.4 включительно)Ruby (от 2.5.0 до 2.5.1 включительно)Ruby (от 2.6.0 до 2.6.0-preview2 включительно)Oracle Communications Interactive Session Recorder (6.0)Oracle Communications Interactive Session Recorder (6.1)Oracle Communications Interactive Session Recorder (6.2)Oracle Communications Interactive Session Recorder (6.3)ROSA Virtualization (2.1)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:

Для Ruby:

https://www.ruby-lang.org/en/news/2018/10/17/ruby-2-3-8-released/

https://www.ruby-lang.org/en/news/2018/10/17/ruby-2-4-5-released/

https://www.ruby-lang.org/en/news/2018/10/17/ruby-2-5-2-released/

https://www.ruby-lang.org/en/news/2018/11/06/ruby-2-6-0-preview3-released/



Для Debian GNU/Linux:

https://lists.debian.org/debian-lts-announce/2018/10/msg00020.html



Для Ubuntu:

https://usn.ubuntu.com/3808-1/



Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2018-16395/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2904

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2903

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00036.htmlhttps://access.redhat.com/errata/RHSA-2018:3729https://access.redhat.com/errata/RHSA-2018:3730https://access.redhat.com/errata/RHSA-2018:3731https://access.redhat.com/errata/RHSA-2018:3738https://access.redhat.com/errata/RHSA-2019:1948https://access.redhat.com/errata/RHSA-2019:2565https://hackerone.com/reports/387250
Проверьте безопасность своего сайта и почты → Полная проверка домена