ГлавнаяБаза уязвимостей БДУ → BDU:2023-02656
6.4средняя

BDU:2023-02656 (CVE-2023-23931)

Уязвимость функции Cipher.update_into пакета cryptography интерпретатора языка программирования Python, позволяющая нарушителю оказать воздействие на целостность и доступность выходных данных
Опубликовано: 2023-05-17
Описание

Уязвимость функции Cipher.update_into пакета cryptography интерпретатора языка программирования Python связана с недостаточной проверкой необычных или исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность и доступность выходных данных

Затрагиваемое ПО и версии
Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Red Hat Software CollectionsSuse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Red Hat Quay (3)Suse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP3)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:


Для cryptography:
https://github.com/pyca/cryptography/pull/8230/commits/94a50a9731f35405f0357fa5f3b177d46a726ab3

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-23931

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-23931.html

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-23931

Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YEWOQURWVFFOYSLMLALWX54SXYYKA5QR/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C3DPI3KSRJPJPLUQ4XIGK6Z3PKN2RS4Q/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KU4ERFXTSWX22ZHW3435N535ZXC6B6KI/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2023.html?952634

Для NetApp Inc:
https://security.netapp.com/advisory/ntap-20230324-0007/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python-cryptography до версии 2.6.1-3+deb10u4

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
обновить пакет python-cryptography до 2.6.1-3+deb10u4+ci202303021645+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2023:6615?lang=ru

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://www.cybersecurity-help.cz/vdb/SB20230418133https://github.com/pyca/cryptography/pull/8230/commits/94a50a9731f35405f0357fa5f3b177d46a726ab3https://github.com/pyca/cryptography/security/advisories/GHSA-w7pp-m8wf-vj6rhttps://access.redhat.com/security/cve/CVE-2023-23931https://www.suse.com/security/cve/CVE-2023-23931.htmlhttps://bugzilla.suse.com/show_bug.cgi?id=1208036https://security-tracker.debian.org/tracker/CVE-2023-23931https://bodhi.fedoraproject.org/updates/FEDORA-2023-749dd47c79
Проверьте безопасность своего сайта и почты → Полная проверка домена