ГлавнаяБаза уязвимостей БДУ → BDU:2023-04959
5средняя

BDU:2023-04959 (CVE-2023-2975)

Уязвимость алгоритма шифрования AES-SIV библиотеки OpenSSL, позволяющая нарушителю обойти процесс аутентификации
Опубликовано: 2023-08-29
Описание

Уязвимость алгоритм шифрования AES-SIV библиотеки OpenSSL связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процесс аутентификации.

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Basesystem (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)Ubuntu (23.04)OpenSSL (от 3.0.0 до 3.0.9 включительно)OpenSSL (от 3.1.0 до 3.1.1 включительно)Ubuntu (23.10)harbor (2.7.0)Node.js (до 18.17.0 включительно)Camunda Modeler (5.15.1)
Способ устранения

Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Использование рекомендаций:
Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=00e2f5eea29994d19293ec4e8c8775ba73678598
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=6a83f0c958811f07e0d11dfc6b5a6a98edfd5bdc

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-2975

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-2975.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6450-1
https://ubuntu.com/security/CVE-2023-2975

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2023/07/15/1http://www.openwall.com/lists/oss-security/2023/07/19/5https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=00e2f5eea29994d19293ec4e8c8775ba73678598https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=6a83f0c958811f07e0d11dfc6b5a6a98edfd5bdchttps://security.netapp.com/advisory/ntap-20230725-0004/https://www.openssl.org/news/secadv/20230714.txthttps://vuldb.com/ru/?id.234166https://www.cybersecurity-help.cz/vdb/SB2023071506
Проверьте безопасность своего сайта и почты → Полная проверка домена