Уязвимость реализации протоколов TLS и SSL программного обеспечения Mbed TLS связана с возможностью переполнения буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, путём отправки специально сформированного открытого ECDH или FFDH ключей
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование конфигурации по умолчанию (mbed TLS 2.28 не затрагивается);
- использование сборки TLS 1.2, поддерживающей RSA или FFDH с ключами размером не менее 2048 бит в дополнение к ECDH (сборка TLS 1.3 остается затронутой).
Использование рекомендаций производителя:
Для Mbed TLS:
https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-advisory-2023-10-2/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-45199
| Балл | 10 — критическая опасность |