ГлавнаяБаза уязвимостей БДУ → BDU:2020-02873
5высокая

BDU:2020-02873 (CVE-2020-1967)

Уязвимость функции SSL_check_chain реализации протокола TLS библиотеки OpenSSL, связанная с с возможностью разыменования нулевого указателя в результате неправильной обработки TLS расширения «signature_algorithms_cert», позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-06-22
Описание

Уязвимость функции SSL_check_chain реализации протокола TLS библиотеки OpenSSL связана с возможностью разыменования нулевого указателя в результате неправильной обработки TLS расширения «signature_algorithms_cert». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании, используя специально сформированный OpenSSL клиент

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)OpenSSL (1.1.1d)OpenSSL (1.1.1e)OpenSSL (1.1.1f)OpenSUSE Leap (15.2)MySQL Enterprise Monitor (до 4.0.12 включительно)MySQL Enterprise Monitor (до 8.0.20 включительно)MySQL Connectors (до 8.0.20 включительно)MySQL Server (до 5.6.48 включительно)MySQL Server (до 5.7.30 включительно)MySQL Server (до 8.0.20 включительно)Enterprise Manager Ops Center (12.4.0.0)OpenSSL (от 1.1.1d до 1.1.1f включительно)JD Edwards EnterpriseOne Tools (до 9.2.5.0 включительно)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20200421.txt

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00004.html
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00011.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XVEP3LAK4JSPRXFO4QF4GG2IVXADV3SO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EXDDAOWSAIEFQNBHWYE6PPYFV4QXGMCD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DDHOAATPWJCXRNFMJ2SASDBBNU5RJONY/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-1967

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=eb563247aef3e83dda7679c43f9649270462e5b1https://github.com/irsl/CVE-2020-1967https://github.com/openssl/openssl/issues/11500https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DDHOAATPWJCXRNFMJ2SASDBBNU5RJONY/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EXDDAOWSAIEFQNBHWYE6PPYFV4QXGMCD/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XVEP3LAK4JSPRXFO4QF4GG2IVXADV3SO/https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00004.htmlhttps://lists.opensuse.org/opensuse-security-announce/2020-07/msg00011.html
Проверьте безопасность своего сайта и почты → Полная проверка домена