ГлавнаяБаза уязвимостей БДУ → BDU:2023-06434
10критическая

BDU:2023-06434 (CVE-2023-45199)

Уязвимость реализации протоколов TLS и SSL программного обеспечения Mbed TLS, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-10-09
Описание

Уязвимость реализации протоколов TLS и SSL программного обеспечения Mbed TLS связана с возможностью переполнения буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, путём отправки специально сформированного открытого ECDH или FFDH ключей

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Mbed TLS (до 3.2.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование конфигурации по умолчанию (mbed TLS 2.28 не затрагивается);
- использование сборки TLS 1.2, поддерживающей RSA или FFDH с ключами размером не менее 2048 бит в дополнение к ECDH (сборка TLS 1.3 остается затронутой).

Использование рекомендаций производителя:
Для Mbed TLS:
https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-advisory-2023-10-2/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-45199

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-advisory-2023-10-2/https://vuldb.com/?id.241488https://security-tracker.debian.org/tracker/CVE-2023-45199
Проверьте безопасность своего сайта и почты → Полная проверка домена