ГлавнаяБаза уязвимостей БДУ → BDU:2023-02238
7.8высокая

BDU:2023-02238 (CVE-2022-4304)

Уязвимость функций EVP_DigestInit(), EVP_DigestUpdate() или EVP_DigestFinal() реализации стандарта PKCS #7 криптографической библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-04-26
Описание

Уязвимость функций EVP_DigestInit(), EVP_DigestUpdate() или EVP_DigestFinal() реализации стандарта PKCS #7 криптографической библиотеки OpenSSL связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
openSUSE TumbleweedРЕД ОС (7.3)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Basesystem (15 SP4)Ubuntu (22.10)Red Hat Enterprise Linux (9.0 Extended Update Support)OpenSSL (от 3.0.0 до 3.0.7 включительно)Ubuntu (23.04)Ubuntu (23.10)harbor (2.7.0)
Способ устранения

Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20230207.txt
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=d3b6dfd70db844c4499bec6ad6601623a565e674

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-0401.html

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-0401

Для Ubuntu:
https://ubuntu.com/security/CVE-2023-0401

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-openssl-cve-2022-4304-cve-2022-4450-cve-2023-0286/?sphrase_id=163100https://access.redhat.com/security/cve/CVE-2023-0401https://www.openssl.org/news/secadv/20230207.txthttps://www.suse.com/security/cve/CVE-2023-0401.htmlhttps://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=d3b6dfd70db844c4499bec6ad6601623a565e674https://ubuntu.com/security/CVE-2023-0401
Проверьте безопасность своего сайта и почты → Полная проверка домена