5средняя
BDU:2023-04959 (CVE-2023-2975)
Уязвимость алгоритма шифрования AES-SIV библиотеки OpenSSL, позволяющая нарушителю обойти процесс аутентификации
Опубликовано: 2023-08-29
Описание
Уязвимость алгоритм шифрования AES-SIV библиотеки OpenSSL связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процесс аутентификации.
Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Basesystem (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)Ubuntu (23.04)OpenSSL (от 3.0.0 до 3.0.9 включительно)OpenSSL (от 3.1.0 до 3.1.1 включительно)Ubuntu (23.10)harbor (2.7.0)Node.js (до 18.17.0 включительно)Camunda Modeler (5.15.1)
Способ устранения
Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.
Использование рекомендаций:
Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=00e2f5eea29994d19293ec4e8c8775ba73678598
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=6a83f0c958811f07e0d11dfc6b5a6a98edfd5bdc
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-2975
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-2975.html
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6450-1
https://ubuntu.com/security/CVE-2023-2975
Оценка CVSS
| Балл | 5 — средняя опасность |
Источники и патчи