ГлавнаяБаза уязвимостей БДУ → BDU:2024-08755
7.5высокая

BDU:2024-08755 (CVE-2024-9143)

Уязвимость функций EC_GROUP_new_curve_GF2m(), EC_GROUP_new_from_params(), BN_GF2m_*() интерфейса Elliptic Curve API криптографической библиотеки OpenSSL, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-10-30
Описание

Уязвимость функций EC_GROUP_new_curve_GF2m(), EC_GROUP_new_from_params(), BN_GF2m_*() интерфейса Elliptic Curve API криптографической библиотеки OpenSSL вызвана переполнением буфера в куче. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)АЛЬТ СП 10Astra Linux Special Edition (1.8)OpenSSL (от 3.3 до 3.3.3)OpenSSL (от 3.2 до 3.2.4)OpenSSL (от 3.1 до 3.1.8)OpenSSL (от 3.0 до 3.0.16)OpenSSL (от 1.1.1 до 1.1.1zb)OpenSSL (от 1.0.2 до 1.0.2zl)ОСОН ОСнова Оnyx (до 2.12)ПАК КЦПС (DSC-01R) (1.8.4)
Способ устранения

Использование рекомендаций производителя:
https://openssl-library.org/news/secadv/20241016.txt
https://github.com/openssl/openssl/commit/72ae83ad214d2eef262461365a1975707f862712
https://github.com/openssl/openssl/commit/bc7e04d7c8d509fb78fc0e285aa948fb0da04700
https://github.com/openssl/openssl/commit/c0d3e4d32d2805f49bec30547f225bc4d092e1f4
https://github.com/openssl/openssl/commit/fdf6723362ca51bd883295efe206cb5b1cfa5154
https://github.openssl.org/openssl/extended-releases/commit/8efc0cbaa8ebba8e116f7b81a876a4123594d86a
https://github.openssl.org/openssl/extended-releases/commit/9d576994cec2b7aa37a91740ea7e680810957e41

Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Обновление программного обеспечения openssl до версии 1.1.1w-0+deb11u2

Для ОС Astra Linux:
обновить пакет openssl до 3.4.0-2-astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1w-0+deb11u2-astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1w-0+deb11u2-astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-edk2-tools-cve-2024-9143-cve-2024-4741-cve-2025-2295/?sphrase_id=1334551

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1w-0+deb11u2-astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://vuldb.com/?id.280688https://nvd.nist.gov/vuln/detail/CVE-2024-9143https://openssl-library.org/news/secadv/20241016.txthttps://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена