ГлавнаяБаза уязвимостей БДУ → BDU:2023-05362
5средняя

BDU:2023-05362

Уязвимость средства криптографической защиты Bouncy Castle, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2023-09-08
Описание

Уязвимость средства криптографической защиты Bouncy Castle связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Logstash (8.9.0)Bouncy Castle FIPS Java API (BC-FJA) (до 1.74)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для программных продуктов Legion of the Bouncy Castle Inc.:
https://github.com/bcgit/bc-java/commit/e8c409a8389c815ea3fda5e8b94c92fdfe583bcc
https://github.com/bcgit/bc-java/wiki/CVE-2023-33201

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/08/msg00000.html

Компенсирующие меры для программных продуктов OpenSearch:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения bouncycastle до версии 1.60-1+deb10u1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://bouncycastle.org/https://github.com/bcgit/bc-java/commit/e8c409a8389c815ea3fda5e8b94c92fdfe583bcchttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена