ГлавнаяБаза уязвимостей БДУ → BDU:2023-03652
7.8высокая

BDU:2023-03652 (CVE-2023-2650)

Уязвимость библиотеки OpenSSL, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-07-11
Описание

Уязвимость библиотеки OpenSSL связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально созданных данных

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (11 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP1-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Suse Linux Enterprise Server (11 SP3-LTSS)Debian GNU/Linux (10)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Desktop (12 SP1)
Способ устранения

Использование рекомендаций:

Для OpenSSL:
https://www.openssl.org/news/secadv/20230530.txt
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=423a2bc737a908ad0c77bda470b2b59dc879936b
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=9e209944b35cf82368071f160a744b6178f9b098
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=db779b0e10b047f2585615e0b8f2acdf21f8544a

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-2650

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-2650

Для Альт 8 СП:
https://cve.basealt.ru/report-06062023-c9f2.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-2650.html

Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IGWYXCBOJHBE4KDZDQOUYC43RNMHRDBL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J6OR7PVNTELF5NATAMOMQWNTKHVAOW4O/



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства



Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openssl до версии 1.1.1n-0+deb11u5



Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства



Для ОС Astra Linux Special Edition 1.7:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17



Для Astra Linux 1.6 «Смоленск»:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16



Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Python:
https://www.python.org/ftp/python/3.11.4/python-3.11.4-amd64.exe

Для Node.js:
https://nodejs.org/download/release/v18.17.0/node-v18.17.0-x64.msi

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366

Для Astra Linux Special Edition 4.7:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.openssl.org/news/secadv/20230530.txthttps://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=423a2bc737a908ad0c77bda470b2b59dc879936bhttps://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=9e209944b35cf82368071f160a744b6178f9b098https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=db779b0e10b047f2585615e0b8f2acdf21f8544ahttps://redos.red-soft.ru/support/secure/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/http://www.openwall.com/lists/oss-security/2023/05/30/1https://www.cybersecurity-help.cz/vdb/SB2023062273
Проверьте безопасность своего сайта и почты → Полная проверка домена