ГлавнаяБаза уязвимостей БДУ → BDU:2026-00890
10критическая

BDU:2026-00890

Уязвимость обработчика CMS-сообщений криптографической библиотеки OpenSSL, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2026-01-28
Описание

Уязвимость обработчика CMS-сообщений криптографической библиотеки OpenSSL связана с записью за границами буфера при обработке вектора инициализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных пакетов

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.8)OpenSSL (от 3.6 до 3.6.1)OpenSSL (от 3.5 до 3.5.5)OpenSSL (от 3.4 до 3.4.4)Astra Linux Special Edition (3.8)Platform V SberLinux OS Server (9.2.0-fstec)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности обработки сообщений CMS или S/MIME, полученных от недоверенных источников;
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети с целью ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций:
https://openssl-library.org/news/secadv/20260127.txt

Для ОС Astra Linux:
обновить пакет openssl до 3.4.0-2-astra8r10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Для ОС Astra Linux:
обновить пакет openssl до 3.4.0-2-astra8r10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Для Platform V SberLinux OS Server:
Обновление операционной системы до версии 9.2.2-fstec

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://openssl-library.org/news/secadv/20260127.txthttps://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38
Проверьте безопасность своего сайта и почты → Полная проверка домена