ГлавнаяБаза уязвимостей БДУ → BDU:2024-00707
7.8высокая

BDU:2024-00707 (CVE-2024-0553)

Уязвимость криптографической библиотеки транспортного уровня GnuTLS, связанная с различием времени ответа при обработке шифротекста RSA в сообщении ClientKeyExchange с корректным и некорректным добавочным заполнением PKCS#1, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-01-25
Описание

Уязвимость криптографической библиотеки транспортного уровня GnuTLS связана с различием времени ответа при обработке шифротекста RSA в сообщении ClientKeyExchange с корректным и некорректным добавочным заполнением PKCS#1. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8.0)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)Red Hat Enterprise Linux (9.0)АЛЬТ СП 10GnuTLS (до 3.8.3)ОСОН ОСнова Оnyx (до 2.10.1)
Способ устранения

Использование рекомендаций:
Для GnuTLS:
https://gitlab.com/gnutls/gnutls/-/issues/1522

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-0553

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения gnutls28 до версии 3.7.1-5+deb11u5

Для ОС Astra Linux:
обновить пакет gnutls28 до 3.6.13-2ubuntu1.11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет gnutls28 до 3.6.13-2ubuntu1.11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2607

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2749

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2024/01/19/3https://access.redhat.com/security/cve/CVE-2024-0553https://bugzilla.redhat.com/show_bug.cgi?id=2258412https://gitlab.com/gnutls/gnutls/-/issues/1522https://lists.gnupg.org/pipermail/gnutls-help/2024-January/004841.htmlhttps://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена