ГлавнаяБаза уязвимостей БДУ → BDU:2023-02237
5.4средняя

BDU:2023-02237 (CVE-2022-4304)

Уязвимость алгоритмов шифрования PKCS#1 v1.5, RSA-OEAP и RSASVE криптографической библиотеки OpenSSL, позволяющая нарушителю реализовать атаку Блейхенбахера (Bleichenbacher)
Опубликовано: 2023-04-26
Описание

Уязвимость алгоритмов шифрования PKCS#1 v1.5, RSA-OEAP и RSASVE криптографической библиотеки OpenSSL связана с формированием побочного канала синхронизации в результате расхождения во времени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку Блейхенбахера (Bleichenbacher)

Затрагиваемое ПО и версии
OpenSSL (1.0.2)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)OpenSSL (1.1.1)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE Linux Enterprise Module for Legacy Software (12)Jboss Web Server (5.0)JBoss Core ServicesSUSE OpenStack Cloud Crowbar (9)SUSE Linux Enterprise Server for SAP Applications (12)openSUSE TumbleweedSuse Linux Enterprise Server (12 SP4-ESPOS)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)Suse Linux Enterprise Server (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)SUSE Linux Enterprise Server for SAP Applications (15 SP3)
Способ устранения

Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20230207.txt

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-4304.html

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4304

Для продуктов Hitachi Energy:
https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Компенсирующие меры:
- использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей;
- использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала;
- исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет);
- использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов;
- использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов

- не используйте алгоритм шифрования RSA для обмена ключами. Вместо этого используйте алгоритм DH (Diffie–Hellman) или ECDH (Elliptic Curve Diffie-Hellman), которые дополнительно обеспечивают свойство Perfect Forward Secrecy.

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openssl до версии 1.1.1n-0+deb11u5

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211

Для Astra Linux 1.6 «Смоленск»:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Astra Linux Special Edition 1.7:
обновить пакет openssl до 1.1.1n-0+deb11u4-astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-openssl-cve-2022-4304-cve-2022-4450-cve-2023-0286/?sphrase_id=163100https://medium.com/@c0D3M/bleichenbacher-attack-explained-bc630f88ff25https://vuldb.com/ru/?id.220350https://www.suse.com/security/cve/CVE-2022-4304.htmlhttps://access.redhat.com/security/cve/CVE-2022-4304https://bugzilla.redhat.com/show_bug.cgi?id=2164487https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02https://library.e.abb.com/public/2a1f519e70474f7fabf8436b9cece25f/8DBD000150-VU-2023-004-OpenSSL_RTU500_Rev1.pdf?x-sign=0bg1XN9zG7lySsZ+ytx3v2Un6J8ZRZtlMjA1mJZE+u/GqrbJCrKiVnZ4hkI8HNuj
Проверьте безопасность своего сайта и почты → Полная проверка домена