ГлавнаяБаза уязвимостей БДУ → BDU:2022-03165
5.4средняя

BDU:2022-03165 (CVE-2022-29242)

Уязвимость реализации алгоритма шифрования по ГОСТ 34.12 библиотеки CTR_OMAC, применяемой при реализации протокола OpenSSL, позволяющая нарушителю вызвать переполнение буфера при условии, что сервер использует 512-битные секретные ключи
Опубликовано: 2022-05-26
Описание

Уязвимость реализации алгоритма шифрования по ГОСТ 34.12 библиотеки CTR_OMAC, применяемой при реализации протокола OpenSSL, связана с ошибками обработки ключа шифрования BLOB-объекта (большого бинарного объекта) в переменной TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать переполнение буфера при условии, что сервер использует 512-битные секретные ключи

Затрагиваемое ПО и версии
GOST engine (до 3.0.1)
Способ устранения

Обновление ГОСТ для OpenSSL (https://github.com/gost-engine) до версии 3.0.1.

Компенсирующие меры:
- отключение набора шифров «TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC»

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-29242https://github.com/gost-engine/engine/commit/7df766124f87768b43b9e8947c5a01e17545772chttps://github.com/gost-engine/engine/commit/b2b4d629f100eaee9f5942a106b1ccefe85b8808https://github.com/gost-engine/engine/commit/c6655a0b620a3e31f085cc906f8073fe81b2fad3https://github.com/gost-engine/engine/releases/tag/v3.0.1https://github.com/gost-engine/engine/security/advisories/GHSA-2rmw-8wpg-vgw5
Проверьте безопасность своего сайта и почты → Полная проверка домена