ГлавнаяБаза уязвимостей БДУ → BDU:2021-04570
10критическая

BDU:2021-04570

Уязвимость реализации криптографического алгоритма SM2 библиотеки OpenSSL, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-09-20
Описание

Уязвимость реализации криптографического алгоритма SM2 библиотеки OpenSSL связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, через передачу специальной оформленных данных для декодирования в приложениях, использующих функцию EVP_PKEY_decrypt() для расшифровки данных SM2

Затрагиваемое ПО и версии
IBM i (7.1)IBM i (7.2)IBM i (7.3)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)OpenSSL (от 1.1.1 до 1.1.1l)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПIBM Watson Explorer Deep Analytics Edition Foundational Components (от 12.0.0 до 12.0.3.7)IBM Watson Explorer Foundational Components (до 11.0.2.11)IBM i (7.4)ОСОН ОСнова Оnyx (до 2.3)ОСОН ОСнова Оnyx (до 2.4.2)ROSA Virtualization (2.1)RTU500 series CMU (от 13.3.1 до 13.3.3 включительно)RTU500 series CMU (от 12.0.1 до 12.0.14 включительно)RTU500 series CMU (от 12.4.1 до 12.4.11 включительно)RTU500 series CMU (от 12.6.1 до 12.6.8 включительно)RTU500 series CMU (от 12.7.1 до 12.7.5 включительно)RTU500 series CMU (от 13.2.1 до 13.2.5 включительно)RTU500 series CMU (13.4.1)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20210824.txt

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-4963

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6507315
https://www.ibm.com/support/pages/node/6492573

Для ОСОН Основа:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7

Для продуктов Hitachi Energy:
https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей;
- использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала;
- исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет);
- использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов;
- использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2904

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2903

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.opennet.ru/opennews/art.shtml?num=55683https://www.openssl.org/news/secadv/20210824.txthttps://www.debian.org/security/2021/dsa-4963https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://www.ibm.com/support/pages/node/6507315
Проверьте безопасность своего сайта и почты → Полная проверка домена