ГлавнаяБаза уязвимостей БДУ → BDU:2023-02240
7.8высокая

BDU:2023-02240 (CVE-2022-4304)

Уязвимость функции PEM_read_bio_ex() криптографической библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-04-26
Описание

Уязвимость функции PEM_read_bio_ex() криптографической библиотеки OpenSSL связана с повторным освобождением памяти при обработке PEM-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного PEM-файла

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)OpenSSL (1.1.1)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE Linux Enterprise Module for Legacy Software (12)Jboss Web Server (5.0)JBoss Core ServicesSUSE OpenStack Cloud (9)SUSE OpenStack Cloud Crowbar (9)SUSE Linux Enterprise Server for SAP Applications (12)openSUSE TumbleweedSuse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)Suse Linux Enterprise Server (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)
Способ устранения

Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20230207.txt
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=63bcf189be73a9cc1264059bed6f57974be74a83
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=bbcf509bd046b34cca19c766bbddc31683d0858b

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-4450.html

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4450

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openssl до версии 1.1.1n-0+deb11u5

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211

Для Astra Linux 1.6 «Смоленск»:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для ОС Аврора:
https://cve.omp.ru/bb25402

Для ОС Astra Linux Special Edition 1.7:
обновить пакет openssl до 1.1.1n-0+deb11u4-astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-openssl-cve-2022-4304-cve-2022-4450-cve-2023-0286/?sphrase_id=163100https://access.redhat.com/security/cve/CVE-2022-4450https://www.suse.com/security/cve/CVE-2022-4450.htmlhttps://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=63bcf189be73a9cc1264059bed6f57974be74a83https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=bbcf509bd046b34cca19c766bbddc31683d0858bhttps://www.openssl.org/news/secadv/20230207.txthttps://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Проверьте безопасность своего сайта и почты → Полная проверка домена