Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04083

Опубликовано: 10 сент. 2019
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функции fork() библиотеки OpenSSL связана с использованием недостаточно случайных значений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
OpenSSL Software Foundation
АО «Концерн ВНИИНС»
АО «НТЦ ИТ РОСА»

Наименование ПО

Debian GNU/Linux
Enterprise Manager Ops Center
PeopleSoft Enterprise PeopleTools
Astra Linux Special Edition
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise SDK
Fedora
Business Intelligence Enterprise Edition
Oracle Secure Global Desktop
Enterprise Communications Broker
OpenSSL
VM VirtualBox
Astra Linux Special Edition для «Эльбрус»
Sun ZFS Storage Appliance Kit
Oracle Communications Session Border Controller
Oracle Enterprise Session Border Controller
Communications Unified Session Manager
Oracle Communications Session Router
Communications Diameter Signaling Router
MySQL Workbench
MySQL Connectors
MySQL Enterprise Backup
ОС ОН «Стрелец»
ROSA Virtualization
ROSA Virtualization 3.0

Версия ПО

9 (Debian GNU/Linux)
12.3.3 (Enterprise Manager Ops Center)
8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 (SUSE Linux Enterprise High Performance Computing)
12 SP4 (SUSE Linux Enterprise SDK)
29 (Fedora)
11.1.1.9.0 (Business Intelligence Enterprise Edition)
12.2.1.3.0 (Business Intelligence Enterprise Edition)
12.2.1.4.0 (Business Intelligence Enterprise Edition)
5.4 (Oracle Secure Global Desktop)
PCz3.0 (Enterprise Communications Broker)
30 (Fedora)
12.4.0 (Enterprise Manager Ops Center)
от 1.1.1 до 1.1.1c включительно (OpenSSL)
10 (Debian GNU/Linux)
до 5.2.34 (VM VirtualBox)
до 6.0.14 (VM VirtualBox)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
8.8.6 (Sun ZFS Storage Appliance Kit)
PCz3.1 (Enterprise Communications Broker)
PCz3.2 (Enterprise Communications Broker)
8.0 (Oracle Communications Session Border Controller)
8.1 (Oracle Communications Session Border Controller)
8.2 (Oracle Communications Session Border Controller)
8.3 (Oracle Communications Session Border Controller)
7.5 (Oracle Enterprise Session Border Controller)
8.0 (Oracle Enterprise Session Border Controller)
8.1 (Oracle Enterprise Session Border Controller)
8.2 (Oracle Enterprise Session Border Controller)
8.3 (Oracle Enterprise Session Border Controller)
7.3.5 (Communications Unified Session Manager)
8.2.5 (Communications Unified Session Manager)
7.4 (Oracle Communications Session Router)
8.0 (Oracle Communications Session Router)
8.1 (Oracle Communications Session Router)
8.2 (Oracle Communications Session Router)
8.3 (Oracle Communications Session Router)
7.4 (Oracle Communications Session Border Controller)
8.0 (Communications Diameter Signaling Router)
8.1 (Communications Diameter Signaling Router)
8.2 (Communications Diameter Signaling Router)
8.3 (Communications Diameter Signaling Router)
8.4 (Communications Diameter Signaling Router)
до 8.0.17 включительно (MySQL Workbench)
5.5 (Oracle Secure Global Desktop)
до 5.3.13 включительно (MySQL Connectors)
до 8.0.18 включительно (MySQL Connectors)
до 3.12.4 включительно (MySQL Enterprise Backup)
до 4.1.3 включительно (MySQL Enterprise Backup)
1.0 (ОС ОН «Стрелец»)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства
Программное средство защиты
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Fedora Project Fedora 29
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для программных продуктов OpenSSL:
https://www.openssl.org/news/secadv/20190910.txt
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GY6SNRJP2S7Y42GIIDO3HXPNMDYN2U3A/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html
Для программных продуктов Novell Inc:
https://www.suse.com/security/cve/CVE-2019-1549/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-1549
Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02189
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-1549

CVSS3: 5.3
ubuntu
больше 6 лет назад

OpenSSL 1.1.1 introduced a rewritten random number generator (RNG). This was intended to include protection in the event of a fork() system call in order to ensure that the parent and child processes did not share the same RNG state. However this protection was not being used in the default case. A partial mitigation for this issue is that the output from a high precision timer is mixed into the RNG state so the likelihood of a parent and child process sharing state is significantly reduced. If an application already calls OPENSSL_init_crypto() explicitly using OPENSSL_INIT_ATFORK then this problem does not occur at all. Fixed in OpenSSL 1.1.1d (Affected 1.1.1-1.1.1c).

redhat логотип

CVE-2019-1549

CVSS3: 4.8
redhat
больше 6 лет назад

OpenSSL 1.1.1 introduced a rewritten random number generator (RNG). This was intended to include protection in the event of a fork() system call in order to ensure that the parent and child processes did not share the same RNG state. However this protection was not being used in the default case. A partial mitigation for this issue is that the output from a high precision timer is mixed into the RNG state so the likelihood of a parent and child process sharing state is significantly reduced. If an application already calls OPENSSL_init_crypto() explicitly using OPENSSL_INIT_ATFORK then this problem does not occur at all. Fixed in OpenSSL 1.1.1d (Affected 1.1.1-1.1.1c).

nvd логотип

CVE-2019-1549

CVSS3: 5.3
nvd
больше 6 лет назад

OpenSSL 1.1.1 introduced a rewritten random number generator (RNG). This was intended to include protection in the event of a fork() system call in order to ensure that the parent and child processes did not share the same RNG state. However this protection was not being used in the default case. A partial mitigation for this issue is that the output from a high precision timer is mixed into the RNG state so the likelihood of a parent and child process sharing state is significantly reduced. If an application already calls OPENSSL_init_crypto() explicitly using OPENSSL_INIT_ATFORK then this problem does not occur at all. Fixed in OpenSSL 1.1.1d (Affected 1.1.1-1.1.1c).

debian логотип

CVE-2019-1549

CVSS3: 5.3
debian
больше 6 лет назад

OpenSSL 1.1.1 introduced a rewritten random number generator (RNG). Th ...

github логотип

GHSA-xmjp-8ccm-cf6h

CVSS3: 5.3
github
больше 3 лет назад

OpenSSL 1.1.1 introduced a rewritten random number generator (RNG). This was intended to include protection in the event of a fork() system call in order to ensure that the parent and child processes did not share the same RNG state. However this protection was not being used in the default case. A partial mitigation for this issue is that the output from a high precision timer is mixed into the RNG state so the likelihood of a parent and child process sharing state is significantly reduced. If an application already calls OPENSSL_init_crypto() explicitly using OPENSSL_INIT_ATFORK then this problem does not occur at all. Fixed in OpenSSL 1.1.1d (Affected 1.1.1-1.1.1c).

EPSS

Процентиль: 84%
0.02189
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2