Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03218

Опубликовано: 17 окт. 2018
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента OpenSSL::X509::Name библиотеки OpenSSL интерпретатора языка программирования Ruby связана с ошибками обработки данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить подделку сертификата X509

Вендор

Canonical Ltd.
Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
Ruby Team
Oracle Corp.

Наименование ПО

Ubuntu
Red Hat Enterprise Linux
Debian GNU/Linux
SUSE Linux Enterprise Module for Open Buildservice Development Tools
SUSE Linux Enterprise Module for Basesystem
OpenSUSE Leap
Ruby
Oracle Communications Interactive Session Recorder

Версия ПО

14.04 LTS (Ubuntu)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
15.0 (OpenSUSE Leap)
15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15.1 (OpenSUSE Leap)
7.4 EUS (Red Hat Enterprise Linux)
7.5 EUS (Red Hat Enterprise Linux)
7.6 EUS (Red Hat Enterprise Linux)
8 (Debian GNU/Linux)
от 2.3.0 до 2.3.7 включительно (Ruby)
от 2.4.0 до 2.4.4 включительно (Ruby)
от 2.5.0 до 2.5.1 включительно (Ruby)
от 2.6.0 до 2.6.0-preview2 включительно (Ruby)
6.0 (Oracle Communications Interactive Session Recorder)
6.1 (Oracle Communications Interactive Session Recorder)
6.2 (Oracle Communications Interactive Session Recorder)
6.3 (Oracle Communications Interactive Session Recorder)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Red Hat Inc. Red Hat Enterprise Linux 7.4 EUS
Red Hat Inc. Red Hat Enterprise Linux 7.5 EUS
Red Hat Inc. Red Hat Enterprise Linux 7.6 EUS
Сообщество свободного программного обеспечения Debian GNU/Linux 8

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Ruby:
https://www.ruby-lang.org/en/news/2018/10/17/ruby-2-3-8-released/
https://www.ruby-lang.org/en/news/2018/10/17/ruby-2-4-5-released/
https://www.ruby-lang.org/en/news/2018/10/17/ruby-2-5-2-released/
https://www.ruby-lang.org/en/news/2018/11/06/ruby-2-6-0-preview3-released/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/10/msg00020.html
Для Ubuntu:
https://usn.ubuntu.com/3808-1/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-16395/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.06913
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVSS3: 9.8
ubuntu
почти 7 лет назад

An issue was discovered in the OpenSSL library in Ruby before 2.3.8, 2.4.x before 2.4.5, 2.5.x before 2.5.2, and 2.6.x before 2.6.0-preview3. When two OpenSSL::X509::Name objects are compared using ==, depending on the ordering, non-equal objects may return true. When the first argument is one character longer than the second, or the second argument contains a character that is one less than a character in the same position of the first argument, the result of == will be true. This could be leveraged to create an illegitimate certificate that may be accepted as legitimate and then used in signing or encryption operations.

CVSS3: 7.5
redhat
почти 7 лет назад

An issue was discovered in the OpenSSL library in Ruby before 2.3.8, 2.4.x before 2.4.5, 2.5.x before 2.5.2, and 2.6.x before 2.6.0-preview3. When two OpenSSL::X509::Name objects are compared using ==, depending on the ordering, non-equal objects may return true. When the first argument is one character longer than the second, or the second argument contains a character that is one less than a character in the same position of the first argument, the result of == will be true. This could be leveraged to create an illegitimate certificate that may be accepted as legitimate and then used in signing or encryption operations.

CVSS3: 9.8
nvd
почти 7 лет назад

An issue was discovered in the OpenSSL library in Ruby before 2.3.8, 2.4.x before 2.4.5, 2.5.x before 2.5.2, and 2.6.x before 2.6.0-preview3. When two OpenSSL::X509::Name objects are compared using ==, depending on the ordering, non-equal objects may return true. When the first argument is one character longer than the second, or the second argument contains a character that is one less than a character in the same position of the first argument, the result of == will be true. This could be leveraged to create an illegitimate certificate that may be accepted as legitimate and then used in signing or encryption operations.

CVSS3: 9.8
msrc
почти 5 лет назад

Описание отсутствует

CVSS3: 9.8
debian
почти 7 лет назад

An issue was discovered in the OpenSSL library in Ruby before 2.3.8, 2 ...

EPSS

Процентиль: 91%
0.06913
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2