ГлавнаяБаза уязвимостей БДУ → BDU:2022-01315
7.8высокая

BDU:2022-01315 (CVE-2022-0778)

Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-03-16
Описание

Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL связана с выполнением цикла без достаточного ограничения количества его выполнения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)Ubuntu (14.04 ESM)Jboss Web Server (5.0)Debian GNU/Linux (10)JBoss Core ServicesAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Jboss Web Server (3)Ubuntu (20.04 LTS)JBoss Enterprise Application Platform (6)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Ubuntu (21.10)РЕД ОС (7.3)ОС ТД АИС ФССП России (ИК6)OpenSSL (от 3.0.0 до 3.0.2)OpenSSL (от 1.1.1 до 1.1.1n)OpenSSL (от 1.0.2 до 1.0.2zd)Red Hat Advanced Cluster Management for Kubernetes (2)Альт 8 СПОС Аврора (до 4.0.2)GT SoftGOT2000 (до 1.280S)RD81OPC96 (до 08 включительно)NZ2MHG-TSNT8F2 (до 03 включительно)NZ2MHG-TSNT4 (до 03 включительно)IBM Cloud Pak System (до 2.3.3.5)ОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Установка обновлений из доверенных источников
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующий меры:
Использование средств обнаружения и предотвращения вторжения (IPS/IDS)

Информация производителей:
Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3118eb64934499d93db3230748a452351d1d9a65
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=a466912611aa6cbdf550cd10601390e587451246
https://www.openssl.org/news/openssl-1.1.1-notes.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-0778

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0778

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5328-2
https://ubuntu.com/security/notices/USN-5328-1

Для программных продуктов Mitsubishi Electric Corporation:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6612587

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb10321

Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb11322

Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb12323

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения openssl до версии 1.1.1n-0+deb10u2

Для продуктов Hitachi Energy:
https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02

Компенсирующие меры:
- использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей;
- использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала;
- исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет);
- использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов;
- использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2252

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
- обновить пакет openssl1.0 до 1.0.2u-1~deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
- обновить пакет openssl до 1.1.1d-2astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:4899?lang=ru

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2022-0778https://altsp.su/obnovleniya-bezopasnosti/https://cve.omprussia.ru/bb10321https://cve.omprussia.ru/bb11322https://cve.omprussia.ru/bb12323https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3118eb64934499d93db3230748a452351d1d9a65https://redos.red-soft.ru/support/secure/https://security-tracker.debian.org/tracker/CVE-2022-0778
Проверьте безопасность своего сайта и почты → Полная проверка домена