ГлавнаяБаза уязвимостей БДУ → BDU:2022-01625
5средняя

BDU:2022-01625

Уязвимость функции mbedtls_pkcs12_derivation реализации протоколов TLS и SSL программного обеспечения Mbed TLS, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-03-30
Описание

Уязвимость функции mbedtls_pkcs12_derivation реализации протоколов TLS и SSL программного обеспечения Mbed TLS связана с ошибками при обработке длины входного пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Mbed TLS (до 2.16.12)Mbed TLS (до 2.28.0)Mbed TLS (до 3.1.0)ОСОН ОСнова Оnyx (до 2.6)
Способ устранения

Установка обновлений из доверенных источников.

Компенсирующие меры:
-использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IPS/IDS) для фильтрации и контроля запросов, которые могут позволить нарушителю эксплуатировать уязвимость;
-сегментирование сети для изоляции критически важных приложений от внешних сетей (в т.ч. Интернет)

Информация от производителя:
https://github.com/ARMmbed/mbedtls/pull/5311
https://github.com/ARMmbed/mbedtls/pull/5310
https://github.com/ARMmbed/mbedtls/pull/5155

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения mbedtls до версии 2.28.1-1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://github.com/ARMmbed/mbedtls/issues/5136https://github.com/ARMmbed/mbedtls/issues/4928https://vuldb.com/ru/?id.195764https://security.snyk.io/vuln/SNYK-UNMANAGED-ARMMBEDMBEDTLS-2433238https://github.com/ARMmbed/mbedtls/pull/5311https://github.com/ARMmbed/mbedtls/pull/5310https://github.com/ARMmbed/mbedtls/pull/5155https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Проверьте безопасность своего сайта и почты → Полная проверка домена