ГлавнаяБаза уязвимостей БДУ → BDU:2024-01337
4.9средняя

BDU:2024-01337 (CVE-2024-0727)

Уязвимость функций PKCS12_parse(), PKCS12_unpack_p7data(), PKCS12_unpack_p7encdata(), PKCS12_unpack_authsafes() и PKCS12_newpass() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-02-16
Описание

Уязвимость функций PKCS12_parse(), PKCS12_unpack_p7data(), PKCS12_unpack_p7encdata(), PKCS12_unpack_authsafes() и PKCS12_newpass() библиотеки OpenSSL связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)Ubuntu (18.04 ESM)АЛЬТ СП 10Ubuntu (23.10)OpenSSL (от 1.0.2 до 1.0.2zj)OpenSSL (от 1.1.1 до 1.1.1x)OpenSSL (от 3.1.0 до 3.1.5)OpenSSL (от 3.0.8 до 3.0.12 включительно)OpenSSL (3.2.0)Astra Linux Special Edition (1.8)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Использование рекомендаций:
Для OpenSSL:
https://github.com/openssl/openssl/commit/09df4395b5071217b76dc7d3d2e630eb8c5a79c2
https://github.com/openssl/openssl/commit/775acfdbd0c6af9ac855f34969cdab0c0c90844a
https://github.com/openssl/openssl/commit/d135eeab8a5dbf72b3da5240bab9ddb7678dbd2c
https://github.openssl.org/openssl/extended-releases/commit/03b3941d60c4bce58fab69a0c22377ab439bc0e8
https://github.openssl.org/openssl/extended-releases/commit/aebaa5883e31122b404e450732dc833dc9dee539

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-0727

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-0727

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6622-1
https://ubuntu.com/security/notices/USN-6632-1

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Astra Linux Special Edition 1.8:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2753

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2730

Обновление программного обеспечения openssl до версии 1.1.1w-0+deb11u2

Оценка CVSS
Балл4.9 — средняя опасность
Источники и патчи
https://github.com/openssl/openssl/commit/09df4395b5071217b76dc7d3d2e630eb8c5a79c2https://github.com/openssl/openssl/commit/775acfdbd0c6af9ac855f34969cdab0c0c90844ahttps://github.com/openssl/openssl/commit/d135eeab8a5dbf72b3da5240bab9ddb7678dbd2chttps://github.openssl.org/openssl/extended-releases/commit/03b3941d60c4bce58fab69a0c22377ab439bc0e8https://github.openssl.org/openssl/extended-releases/commit/aebaa5883e31122b404e450732dc833dc9dee539https://security.netapp.com/advisory/ntap-20240208-0006/https://www.openssl.org/news/secadv/20240125.txthttps://access.redhat.com/security/cve/CVE-2024-0727
Проверьте безопасность своего сайта и почты → Полная проверка домена