ГлавнаяБаза уязвимостей БДУ → BDU:2024-06735
5.4средняя

BDU:2024-06735 (CVE-2024-6119)

Уязвимость библиотеки OpenSSL, связанная с прочтением неверного адреса в памяти при сравнении имен субъекта `otherName` сертификата X.509, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-09-06
Описание

Уязвимость библиотеки OpenSSL связана с прочтением неверного адреса в памяти при сравнении имен субъекта `otherName` сертификата X.509. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)OpenShift Container Platform (4)Debian GNU/Linux (12)РЕД ОС (7.3)Red Hat Enterprise Linux (9)OpenSSL (от 3.0 до 3.0.15)OpenSSL (от 3.1 до 3.1.7)OpenSSL (от 3.2 до 3.2.3)OpenSSL (от 3.3 до 3.3.2)Astra Linux Special Edition (1.8)ПАК КЦПС (DSC-01R) (1.8.4)
Способ устранения

Использование рекомендаций:
Для OpenSSL:
https://openssl-library.org/news/secadv/20240903.txt
https://github.com/openssl/openssl/commit/621f3729831b05ee828a3203eddb621d014ff2b2
https://github.com/openssl/openssl/commit/06d1dc3fa96a2ba5a3e22735a033012aadc9f0d6
https://github.com/openssl/openssl/commit/7dfcee2cd2a63b2c64b9b4b0850be64cb695b0a0

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-6119

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-6119

Компенсирующие меры:
- запуск приложения в изолированных окружениях с минимальными правами доступа;
- применение контейнеризации или других форм изоляции процессов;
- настройка белых списков доверенных сертификатов, исключив использование самоподписанных или недоверенных сертификатов, что может снизить риск использования уязвимых сертификатов в цепочке атак;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS).

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет openssl до 3.4.0-2-astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://openssl-library.org/news/secadv/20240903.txthttps://github.com/openssl/openssl/commit/621f3729831b05ee828a3203eddb621d014ff2b2https://github.com/openssl/openssl/commit/06d1dc3fa96a2ba5a3e22735a033012aadc9f0d6https://github.com/openssl/openssl/commit/7dfcee2cd2a63b2c64b9b4b0850be64cb695b0a0https://security-tracker.debian.org/tracker/CVE-2024-6119https://access.redhat.com/security/cve/CVE-2024-6119http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена