ГлавнаяБаза уязвимостей БДУ → BDU:2024-06988
9.4критическая

BDU:2024-06988 (CVE-2024-5535)

Уязвимость функции SSL_select_next_proto инструментария для протоколов TLS и SSL OpenSSL, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Опубликовано: 2024-09-13
Описание

Уязвимость функции SSL_select_next_proto инструментария для протоколов TLS и SSL OpenSSL связана с раскрытием информации. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)ROSA Virtualization (2.1)АЛЬТ СП 10OpenSSL (от 3.0 до 3.0.15)OpenSSL (от 3.1 до 3.1.7)OpenSSL (от 3.2 до 3.2.3)OpenSSL (от 3.3 до 3.3.2)Astra Linux Special Edition (1.8)OpenSSL (от 1.0.2 до 1.0.2zk)OpenSSL (от 1.1.1 до 1.1.1za)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)ПАК КЦПС (DSC-01R) (1.8.4)
Способ устранения

Для OpenSSL:
использование рекомендаций производителя: https://openssl-library.org/news/secadv/20240627.txt
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2024-5535
Для ОС Astra Linux Special Edition 1.8:
обновить пакет openssl до 3.2.0-2-astra5+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Обновление программного обеспечения openssl до версии 1.1.1w-0+deb11u2

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2816

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2853

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1w-0+deb11u2-astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1w-0+deb11u2-astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1w-0+deb11u2-astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://github.com/openssl/openssl/commit/0d883f6309b6905d29ffded6d703ded39385579chttps://github.com/openssl/openssl/commit/214c724e00d594c3eecf4b740ee7af772f0ee04ahttps://github.com/openssl/openssl/commit/238fa464d6e38aa2c92af70ef9580c74cff512e4https://github.com/openssl/openssl/commit/2ebbe2d7ca8551c4cb5fbb391ab9af411708090ehttps://github.com/openssl/openssl/commit/4ada436a1946cbb24db5ab4ca082b69c1bc10f37https://github.com/openssl/openssl/commit/9925c97a8e8c9887765a0979c35b516bc8c3af85https://github.com/openssl/openssl/commit/99fb785a5f85315b95288921a321a935ea29a51ehttps://github.com/openssl/openssl/commit/a210f580f450bbd08fac85f06e27107b8c580f9b
Проверьте безопасность своего сайта и почты → Полная проверка домена