4.3средняя
BDU:2021-03037 (CVE-2017-3738)
Уязвимость процедуры AVX2 Montgomery библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-06-15
Описание
Уязвимость процедуры AVX2 Montgomery библиотеки OpenSSL связана с недостатками защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью закрытого ключа DH1024
Затрагиваемое ПО и версии
API Gateway (11.1.2.4.0)Transportation Management (6.2)Red Hat Enterprise Linux (7)Ubuntu (17.04)Debian GNU/Linux (9)Ubuntu (17.10)Enterprise Manager Ops Center (12.2.2)Enterprise Manager Ops Center (12.3.3)JD Edwards EnterpriseOne Tools (9.2)Tuxedo (12.1.1.0)PeopleSoft Enterprise PeopleTools (8.55)PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)Primavera P6 Enterprise Project Portfolio Management (8.4)Primavera P6 Enterprise Project Portfolio Management (15.1)Primavera P6 Enterprise Project Portfolio Management (15.2)Primavera P6 Enterprise Project Portfolio Management (16.1)Primavera P6 Enterprise Project Portfolio Management (16.2)Primavera P6 Enterprise Project Portfolio Management (18.8)Communications WebRTC Session Controller (до 7.2)Communications Application Session Controller (3.7.1)Communications Application Session Controller (3.8.0)Communications Network Charging and Control (4.4.1.5.0)Communications Network Charging and Control (5.0.0.1.0)Communications Network Charging and Control (5.0.0.2.0)Communications Network Charging and Control (5.0.1.0.0)Communications Network Charging and Control (5.0.2.0.0)Agile Engineering Data Management (6.1.3)Agile Engineering Data Management (6.2.0)Agile Engineering Data Management (6.2.1)
Способ устранения
Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20171207.txt
https://www.openssl.org/news/secadv/20180327.txt
Для Node.js:
https://nodejs.org/en/blog/vulnerability/december-2017-security-releases/
Для Debian GNU/Linux:
https://www.debian.org/security/2017/dsa-4065
https://www.debian.org/security/2018/dsa-4157
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2017-3738
Для Ubuntu:
https://ubuntu.com/security/notices/USN-3512-1
Для программных продуктов Oracle Corp.:
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
Оценка CVSS
| Балл | 4.3 — средняя опасность |
Источники и патчи