Описание
Уязвимость реализации алгоритма шифрования DSA (Digital Signature Algorithm) библиотеки OpenSSL связана с ошибками управления криптографическими ключами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем восстановления закрытого ключа
Вендор
Canonical Ltd.
Oracle Corp.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
OpenSSL Software Foundation
Fedora Project
Node.js Foundation
Novell Inc.
ООО «Открытая мобильная платформа»
Наименование ПО
Ubuntu
API Gateway
Red Hat Enterprise Linux
Debian GNU/Linux
Enterprise Manager Ops Center
VM VirtualBox
PeopleSoft Enterprise PeopleTools
MySQL
Astra Linux Special Edition
Primavera P6 Enterprise Project Portfolio Management
OpenSSL
Fedora
Enterprise Manager Base Platform
Node.js
Tuxedo
Application Server
MySQL Enterprise Backup
OpenSUSE Leap
JBoss Core Services
Astra Linux Special Edition для «Эльбрус»
Oracle Communications Session Border Controller
Oracle Enterprise Session Border Controller
Communications Unified Session Manager
Oracle Communications Session Router
Communications Diameter Signaling Router
ОС Аврора
Версия ПО
14.04 LTS (Ubuntu)
11.1.2.4.0 (API Gateway)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
12.3.3 (Enterprise Manager Ops Center)
18.10 (Ubuntu)
до 5.2.24 (VM VirtualBox)
8.55 (PeopleSoft Enterprise PeopleTools)
8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
до 8.0.13 включительно (MySQL)
до 5.6.42 включительно (MySQL)
до 5.7.24 включительно (MySQL)
1.6 «Смоленск» (Astra Linux Special Edition)
8.4 (Primavera P6 Enterprise Project Portfolio Management)
15.1 (Primavera P6 Enterprise Project Portfolio Management)
15.2 (Primavera P6 Enterprise Project Portfolio Management)
16.1 (Primavera P6 Enterprise Project Portfolio Management)
16.2 (Primavera P6 Enterprise Project Portfolio Management)
18.8 (Primavera P6 Enterprise Project Portfolio Management)
до 1.1.1 включительно (OpenSSL)
от 1.0.2 до 1.0.2p включительно (OpenSSL)
от 1.1.0 до 1.1.0i включительно (OpenSSL)
8.0 (Debian GNU/Linux)
29 (Fedora)
13.2.0.0.0 (Enterprise Manager Base Platform)
13.3.0.0.0 (Enterprise Manager Base Platform)
12.1.0.5.0 (Enterprise Manager Base Platform)
10 (Node.js)
11 (Node.js)
12.1.1 (Tuxedo)
6 (Node.js)
8 (Node.js)
от 17.7 до 17.12 включительно (Primavera P6 Enterprise Project Portfolio Management)
0.9.8 (Application Server)
1.0.0 (Application Server)
1.0.1 (Application Server)
до 3.12.3 включительно (MySQL Enterprise Backup)
до 4.1.2 включительно (MySQL Enterprise Backup)
до 6.0.0 (VM VirtualBox)
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
30 (Fedora)
31 (Fedora)
- (JBoss Core Services)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
8.0 (Oracle Communications Session Border Controller)
8.1 (Oracle Communications Session Border Controller)
8.2 (Oracle Communications Session Border Controller)
8.3 (Oracle Communications Session Border Controller)
7.5 (Oracle Enterprise Session Border Controller)
8.0 (Oracle Enterprise Session Border Controller)
8.1 (Oracle Enterprise Session Border Controller)
8.2 (Oracle Enterprise Session Border Controller)
8.3 (Oracle Enterprise Session Border Controller)
7.3.5 (Communications Unified Session Manager)
8.2.5 (Communications Unified Session Manager)
7.4 (Oracle Communications Session Router)
8.0 (Oracle Communications Session Router)
8.1 (Oracle Communications Session Router)
8.2 (Oracle Communications Session Router)
8.3 (Oracle Communications Session Router)
7.4 (Oracle Communications Session Border Controller)
8.0 (Communications Diameter Signaling Router)
8.1 (Communications Diameter Signaling Router)
8.2 (Communications Diameter Signaling Router)
8.3 (Communications Diameter Signaling Router)
8.4 (Communications Diameter Signaling Router)
до 3.2.3.31 (ОС Аврора)
до 3.2.3.31 (ОС Аврора)
до 3.2.3.31 (ОС Аврора)
до 3.2.3.31 (ОС Аврора)
Тип ПО
Операционная система
ПО программно-аппаратных средств защиты
Сетевое программное средство
Прикладное ПО информационных систем
СУБД
Программное средство защиты
ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 14.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Fedora Project Fedora 29
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Fedora Project Fedora 31
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для openssl:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=43e6a58d4991a451daf4891ff05a48735df871ac
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=8abfe72e8c1de1b95f50aa0d9134803b4d00070f
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ef11e19d1365eea2b1851e6f540a0bf365d303e7
https://www.openssl.org/news/secadv/20181030.txt
Для Debian:
Обновление программного обеспечения (пакета openssl) до 1.1.0j-1~deb9u1 или более поздней версии
Обновление программного обеспечения (пакета openssl1.0) до 1.0.2q-1~deb9u1 или более поздней версии
Для Node.js:
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/
Для Ubuntu:
https://usn.ubuntu.com/3840-1/
Для Debian:
https://www.debian.org/security/2018/dsa-4348
https://www.debian.org/security/2018/dsa-4355
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/security-alerts/cpujan2020.html
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 90%
0.06051
Низкий
5.9 Medium
CVSS3
7.1 High
CVSS2
Связанные уязвимости
CVSS3: 5.9
ubuntu
больше 6 лет назад
The OpenSSL DSA signature algorithm has been shown to be vulnerable to a timing side channel attack. An attacker could use variations in the signing algorithm to recover the private key. Fixed in OpenSSL 1.1.1a (Affected 1.1.1). Fixed in OpenSSL 1.1.0j (Affected 1.1.0-1.1.0i). Fixed in OpenSSL 1.0.2q (Affected 1.0.2-1.0.2p).
CVSS3: 5.1
redhat
больше 6 лет назад
The OpenSSL DSA signature algorithm has been shown to be vulnerable to a timing side channel attack. An attacker could use variations in the signing algorithm to recover the private key. Fixed in OpenSSL 1.1.1a (Affected 1.1.1). Fixed in OpenSSL 1.1.0j (Affected 1.1.0-1.1.0i). Fixed in OpenSSL 1.0.2q (Affected 1.0.2-1.0.2p).
CVSS3: 5.9
nvd
больше 6 лет назад
The OpenSSL DSA signature algorithm has been shown to be vulnerable to a timing side channel attack. An attacker could use variations in the signing algorithm to recover the private key. Fixed in OpenSSL 1.1.1a (Affected 1.1.1). Fixed in OpenSSL 1.1.0j (Affected 1.1.0-1.1.0i). Fixed in OpenSSL 1.0.2q (Affected 1.0.2-1.0.2p).
CVSS3: 5.9
debian
больше 6 лет назад
The OpenSSL DSA signature algorithm has been shown to be vulnerable to ...
EPSS
Процентиль: 90%
0.06051
Низкий
5.9 Medium
CVSS3
7.1 High
CVSS2