Уязвимость реализации криптографического алгоритма SM2 библиотеки OpenSSL связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, через передачу специальной оформленных данных для декодирования в приложениях, использующих функцию EVP_PKEY_decrypt() для расшифровки данных SM2
Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20210824.txt
Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-4963
Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6507315
https://www.ibm.com/support/pages/node/6492573
Для ОСОН Основа:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7
Для продуктов Hitachi Energy:
https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
- использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей;
- использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала;
- исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет);
- использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов;
- использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов
Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2904
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2903
| Балл | 10 — критическая опасность |