ГлавнаяБаза уязвимостей БДУ → BDU:2024-03158
7.8высокая

BDU:2024-03158

Уязвимость функции dsaVerify() пакета для дублирования криптографического функциональности Browserify-sign, позволяющая нарушителю создавать подписи, которые могут быть успешно проверены любым открытым ключом, что приводит к атаке подделки подписи
Опубликовано: 2024-04-22
Описание

Уязвимость функции dsaVerify() пакета для дублирования криптографического функциональности Browserify-sign связана с неправильной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создавать подписи, которые могут быть успешно проверены любым открытым ключом, что приводит к атаке подделки подписи

Затрагиваемое ПО и версии
РЕД ОС (7.3)ОСОН ОСнова Оnyx (до 2.9)Browserify-sign (до 4.2.2)
Способ устранения

Для Browserify-sign:
https://github.com/browserify/browserify-sign/commit/85994cd6348b50f2fd1b73c54e20881416f44a30
https://github.com/browserify/browserify-sign/security/advisories/GHSA-x9w5-v3q2-3rhw

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-browserify-sign до версии 4.0.4-2+deb10u1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/browserify/browserify-sign/commit/85994cd6348b50f2fd1b73c54e20881416f44a30https://github.com/browserify/browserify-sign/security/advisories/GHSA-x9w5-v3q2-3rhwhttps://redos.red-soft.ru/support/secure/
Проверьте безопасность своего сайта и почты → Полная проверка домена