Описание
Уязвимость реализации алгоритма шифрования ECDSA (Elliptic Curve Digital Signature Algorithm) библиотеки OpenSSL связана с ошибками управления криптографическими ключами. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, восстановить закрытый ключ шифрования
Вендор
Canonical Ltd.
Oracle Corp.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
OpenSSL Software Foundation
Node.js Foundation
Novell Inc.
Наименование ПО
Ubuntu
API Gateway
Red Hat Enterprise Linux
Debian GNU/Linux
Enterprise Manager Ops Center
JD Edwards EnterpriseOne Tools
Tuxedo
VM VirtualBox
PeopleSoft Enterprise PeopleTools
Astra Linux Special Edition
Primavera P6 Enterprise Project Portfolio Management
OpenSSL
Business Intelligence Enterprise Edition
Enterprise Manager Base Platform
Node.js
Endeca Server
Application Server
MySQL Enterprise Backup
Enterprise Communications Broker
JD Edwards World Security
OpenSUSE Leap
MySQL Connectors
MySQL Server
MySQL Enterprise Monitor
Astra Linux Special Edition для «Эльбрус»
Oracle Communications Session Border Controller
Communications Unified Session Manager
Oracle Communications Session Router
Communications Diameter Signaling Router
MySQL Workbench
Services Tools Bundle
Версия ПО
14.04 LTS (Ubuntu)
11.1.2.4.0 (API Gateway)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
12.3.3 (Enterprise Manager Ops Center)
9.2 (JD Edwards EnterpriseOne Tools)
18.10 (Ubuntu)
12.1.1.0 (Tuxedo)
до 5.2.24 (VM VirtualBox)
8.55 (PeopleSoft Enterprise PeopleTools)
8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
1.6 «Смоленск» (Astra Linux Special Edition)
8.4 (Primavera P6 Enterprise Project Portfolio Management)
15.1 (Primavera P6 Enterprise Project Portfolio Management)
15.2 (Primavera P6 Enterprise Project Portfolio Management)
16.1 (Primavera P6 Enterprise Project Portfolio Management)
16.2 (Primavera P6 Enterprise Project Portfolio Management)
18.8 (Primavera P6 Enterprise Project Portfolio Management)
от 1.1.0 до 1.1.0i включительно (OpenSSL)
8.0 (Debian GNU/Linux)
11.1.1.9.0 (Business Intelligence Enterprise Edition)
12.2.1.3.0 (Business Intelligence Enterprise Edition)
12.2.1.4.0 (Business Intelligence Enterprise Edition)
13.2.0.0.0 (Enterprise Manager Base Platform)
13.3.0.0.0 (Enterprise Manager Base Platform)
12.1.0.5.0 (Enterprise Manager Base Platform)
10 (Node.js)
11 (Node.js)
7.7.0 (Endeca Server)
от 17.7 до 17.12 включительно (Primavera P6 Enterprise Project Portfolio Management)
0.9.8 (Application Server)
1.0.0 (Application Server)
1.0.1 (Application Server)
до 3.12.3 включительно (MySQL Enterprise Backup)
до 4.1.2 включительно (MySQL Enterprise Backup)
до 6.0.0 (VM VirtualBox)
PCz3.0 (Enterprise Communications Broker)
A9.3 (JD Edwards World Security)
A9.3.1 (JD Edwards World Security)
A9.4 (JD Edwards World Security)
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
до 5.3.12 включительно (MySQL Connectors)
до 8.0.15 включительно (MySQL Connectors)
до 5.6.43 включительно (MySQL Server)
до 5.7.25 включительно (MySQL Server)
до 8.0.15 включительно (MySQL Server)
до 4.0.8 включительно (MySQL Enterprise Monitor)
до 8.0.14 включительно (MySQL Enterprise Monitor)
12.4.0 (Enterprise Manager Ops Center)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
PCz3.1 (Enterprise Communications Broker)
PCz3.2 (Enterprise Communications Broker)
7.5 (Oracle Communications Session Border Controller)
8.0 (Oracle Communications Session Border Controller)
8.1 (Oracle Communications Session Border Controller)
8.2 (Oracle Communications Session Border Controller)
8.3 (Oracle Communications Session Border Controller)
7.3.5 (Communications Unified Session Manager)
8.2.5 (Communications Unified Session Manager)
7.4 (Oracle Communications Session Router)
8.0 (Oracle Communications Session Router)
8.1 (Oracle Communications Session Router)
8.2 (Oracle Communications Session Router)
8.3 (Oracle Communications Session Router)
7.4 (Oracle Communications Session Border Controller)
8.0 (Communications Diameter Signaling Router)
8.1 (Communications Diameter Signaling Router)
8.2 (Communications Diameter Signaling Router)
8.3 (Communications Diameter Signaling Router)
8.4 (Communications Diameter Signaling Router)
до 8.0.16 включительно (MySQL Workbench)
19.2 (Services Tools Bundle)
Тип ПО
Операционная система
ПО программно-аппаратных средств защиты
Сетевое программное средство
Прикладное ПО информационных систем
Программное средство защиты
ПО виртуализации/ПО виртуального программно-аппаратного средства
СУБД
ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 14.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости
Использование рекомендации:
Для OpenSSL:
https://www.openssl.org/news/secadv/20181029.txt
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/11/msg00024.html
https://www.debian.org/security/2018/dsa-4348
Для Ubuntu:
https://usn.ubuntu.com/3840-1/
Для Node.js:
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-0735/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-0735
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 91%
0.07652
Низкий
5.9 Medium
CVSS3
7.1 High
CVSS2
Связанные уязвимости
CVSS3: 5.9
ubuntu
больше 6 лет назад
The OpenSSL ECDSA signature algorithm has been shown to be vulnerable to a timing side channel attack. An attacker could use variations in the signing algorithm to recover the private key. Fixed in OpenSSL 1.1.0j (Affected 1.1.0-1.1.0i). Fixed in OpenSSL 1.1.1a (Affected 1.1.1).
CVSS3: 5.1
redhat
больше 6 лет назад
The OpenSSL ECDSA signature algorithm has been shown to be vulnerable to a timing side channel attack. An attacker could use variations in the signing algorithm to recover the private key. Fixed in OpenSSL 1.1.0j (Affected 1.1.0-1.1.0i). Fixed in OpenSSL 1.1.1a (Affected 1.1.1).
CVSS3: 5.9
nvd
больше 6 лет назад
The OpenSSL ECDSA signature algorithm has been shown to be vulnerable to a timing side channel attack. An attacker could use variations in the signing algorithm to recover the private key. Fixed in OpenSSL 1.1.0j (Affected 1.1.0-1.1.0i). Fixed in OpenSSL 1.1.1a (Affected 1.1.1).
CVSS3: 5.9
debian
больше 6 лет назад
The OpenSSL ECDSA signature algorithm has been shown to be vulnerable ...
CVSS3: 5.9
github
около 3 лет назад
The OpenSSL ECDSA signature algorithm has been shown to be vulnerable to a timing side channel attack. An attacker could use variations in the signing algorithm to recover the private key. Fixed in OpenSSL 1.1.0j (Affected 1.1.0-1.1.0i). Fixed in OpenSSL 1.1.1a (Affected 1.1.1).
EPSS
Процентиль: 91%
0.07652
Низкий
5.9 Medium
CVSS3
7.1 High
CVSS2