Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04084

Опубликовано: 10 сент. 2019
Источник: fstec
CVSS3: 4.7
CVSS2: 4.7
EPSS Низкий

Описание

Уязвимость функций ec_err.c и ec_lib.c библиотеки OpenSSL связана с отсутствием мер по шифрованию данных. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Oracle Corp.
Novell Inc.
Fedora Project
OpenSSL Software Foundation
ООО «Ред Софт»
АО «Концерн ВНИИНС»
ООО «Открытая мобильная платформа»
АО «ИВК»
АО «НТЦ ИТ РОСА»

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
Enterprise Manager Ops Center
PeopleSoft Enterprise PeopleTools
Suse Linux Enterprise Desktop
SUSE Enterprise Storage
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Software Development Kit
SUSE OpenStack Cloud
Suse Linux Enterprise Server
Fedora
Business Intelligence Enterprise Edition
Oracle Secure Global Desktop
Enterprise Communications Broker
SUSE Linux Enterprise Module for Open Buildservice Development Tools
SUSE Linux Enterprise Module for Basesystem
OpenSUSE Leap
SUSE CaaS Platform
SUSE Linux Enterprise Point of Sale
SUSE Linux Enterprise Module for Legacy Software
SUSE OpenStack Cloud Crowbar
OpenSSL
HPE Helion Openstack
VM VirtualBox
РЕД ОС
Astra Linux Special Edition для «Эльбрус»
Sun ZFS Storage Appliance Kit
Oracle Communications Session Border Controller
Oracle Enterprise Session Border Controller
Communications Unified Session Manager
Oracle Communications Session Router
Communications Diameter Signaling Router
MySQL Workbench
MySQL Connectors
MySQL Enterprise Backup
Hyperion Essbase
ОС ОН «Стрелец»
ОС Аврора
Альт 8 СП
ROSA Virtualization
ROSA Virtualization 3.0

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)
9 (Debian GNU/Linux)
12.3.3 (Enterprise Manager Ops Center)
8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP4 (Suse Linux Enterprise Desktop)
4 (SUSE Enterprise Storage)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Software Development Kit)
7 (SUSE OpenStack Cloud)
12 SP4 (Suse Linux Enterprise Server)
29 (Fedora)
11.1.1.9.0 (Business Intelligence Enterprise Edition)
12.2.1.3.0 (Business Intelligence Enterprise Edition)
12.2.1.4.0 (Business Intelligence Enterprise Edition)
5.4 (Oracle Secure Global Desktop)
PCz3.0 (Enterprise Communications Broker)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
15.0 (OpenSUSE Leap)
3.0 (SUSE CaaS Platform)
5 (SUSE Enterprise Storage)
12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP2-ESPOS (Suse Linux Enterprise Server)
15 SP1 (SUSE Linux Enterprise Module for Legacy Software)
15 (SUSE Linux Enterprise Module for Legacy Software)
11 SP3 (SUSE Linux Enterprise Point of Sale)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15.1 (OpenSUSE Leap)
11 SP4-LTSS (Suse Linux Enterprise Server)
12 SP1-LTSS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
30 (Fedora)
12 SP3-LTSS (Suse Linux Enterprise Server)
8 (SUSE OpenStack Cloud)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)
12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
8 (SUSE OpenStack Cloud Crowbar)
12.4.0 (Enterprise Manager Ops Center)
12 (SUSE Linux Enterprise Module for Legacy Software)
11-SECURITY (Suse Linux Enterprise Server)
11-SECURITY (SUSE Linux Enterprise Server for SAP Applications)
от 1.0.2 до 1.0.2s включительно (OpenSSL)
от 1.1.0 до 1.1.0k включительно (OpenSSL)
от 1.1.1 до 1.1.1c включительно (OpenSSL)
10 (Debian GNU/Linux)
6 (SUSE Enterprise Storage)
8 (HPE Helion Openstack)
до 5.2.34 (VM VirtualBox)
до 6.0.14 (VM VirtualBox)
12 SP3-ESPOS (Suse Linux Enterprise Server)
12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
до 7.2 Муром (РЕД ОС)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
8.8.6 (Sun ZFS Storage Appliance Kit)
PCz3.1 (Enterprise Communications Broker)
PCz3.2 (Enterprise Communications Broker)
8.0 (Oracle Communications Session Border Controller)
8.1 (Oracle Communications Session Border Controller)
8.2 (Oracle Communications Session Border Controller)
8.3 (Oracle Communications Session Border Controller)
7.5 (Oracle Enterprise Session Border Controller)
8.0 (Oracle Enterprise Session Border Controller)
8.1 (Oracle Enterprise Session Border Controller)
8.2 (Oracle Enterprise Session Border Controller)
8.3 (Oracle Enterprise Session Border Controller)
7.3.5 (Communications Unified Session Manager)
8.2.5 (Communications Unified Session Manager)
7.4 (Oracle Communications Session Router)
8.0 (Oracle Communications Session Router)
8.1 (Oracle Communications Session Router)
8.2 (Oracle Communications Session Router)
8.3 (Oracle Communications Session Router)
7.4 (Oracle Communications Session Border Controller)
8.0 (Communications Diameter Signaling Router)
8.1 (Communications Diameter Signaling Router)
8.2 (Communications Diameter Signaling Router)
8.3 (Communications Diameter Signaling Router)
8.4 (Communications Diameter Signaling Router)
до 8.0.17 включительно (MySQL Workbench)
5.5 (Oracle Secure Global Desktop)
до 5.3.13 включительно (MySQL Connectors)
до 8.0.18 включительно (MySQL Connectors)
до 3.12.4 включительно (MySQL Enterprise Backup)
до 4.1.3 включительно (MySQL Enterprise Backup)
11.1.2.4 (Hyperion Essbase)
1.0 (ОС ОН «Стрелец»)
до 3.2.3.31 (ОС Аврора)
до 3.2.3.31 (ОС Аврора)
до 3.2.3.31 (ОС Аврора)
до 3.2.3.31 (ОС Аврора)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства
Программное средство защиты
ПО сетевого программно-аппаратного средства
СУБД

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP4
Fedora Project Fedora 29
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS
Novell Inc. OpenSUSE Leap 15.1
Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS
Fedora Project Fedora 30
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 11-SECURITY
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11-SECURITY
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-ESPOS
ООО «Ред Софт» РЕД ОС до 7.2 Муром
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для программных продуктов OpenSSL:
https://www.openssl.org/news/secadv/20190910.txt
Обновление программного обеспечения до 1.1.1d-2 или более поздней версии
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GY6SNRJP2S7Y42GIIDO3HXPNMDYN2U3A/
Для Debian GNU/Linux:
Обновление программного обеспечения (пакета openssl) до 1.1.0l-1~deb9u1 или более поздней версии
https://security-tracker.debian.org/tracker/CVE-2019-1547
Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром
Для OpenSUSE:
https://www.suse.com/security/cve/CVE-2019-1547/
Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuoct2019.html
Для Astra Linux:
Обновление программного обеспечения (пакета openssl) до 1.1.1d-0+deb10u2 или более поздней версии
https://wiki.astralinux.ru/pages/viewpage.action?pageId=117998111
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 49%
0.0026
Низкий

4.7 Medium

CVSS3

4.7 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-1547

CVSS3: 4.7
ubuntu
больше 6 лет назад

Normally in OpenSSL EC groups always have a co-factor present and this is used in side channel resistant code paths. However, in some cases, it is possible to construct a group using explicit parameters (instead of using a named curve). In those cases it is possible that such a group does not have the cofactor present. This can occur even where all the parameters match a known named curve. If such a curve is used then OpenSSL falls back to non-side channel resistant code paths which may result in full key recovery during an ECDSA signature operation. In order to be vulnerable an attacker would have to have the ability to time the creation of a large number of signatures where explicit parameters with no co-factor present are in use by an application using libcrypto. For the avoidance of doubt libssl is not vulnerable because explicit parameters are never used. Fixed in OpenSSL 1.1.1d (Affected 1.1.1-1.1.1c). Fixed in OpenSSL 1.1.0l (Affected 1.1.0-1.1.0k). Fixed in OpenSSL 1.0.2t (A...

redhat логотип

CVE-2019-1547

CVSS3: 5.5
redhat
больше 6 лет назад

Normally in OpenSSL EC groups always have a co-factor present and this is used in side channel resistant code paths. However, in some cases, it is possible to construct a group using explicit parameters (instead of using a named curve). In those cases it is possible that such a group does not have the cofactor present. This can occur even where all the parameters match a known named curve. If such a curve is used then OpenSSL falls back to non-side channel resistant code paths which may result in full key recovery during an ECDSA signature operation. In order to be vulnerable an attacker would have to have the ability to time the creation of a large number of signatures where explicit parameters with no co-factor present are in use by an application using libcrypto. For the avoidance of doubt libssl is not vulnerable because explicit parameters are never used. Fixed in OpenSSL 1.1.1d (Affected 1.1.1-1.1.1c). Fixed in OpenSSL 1.1.0l (Affected 1.1.0-1.1.0k). Fixed in OpenSSL 1.0.2t (A...

nvd логотип

CVE-2019-1547

CVSS3: 4.7
nvd
больше 6 лет назад

Normally in OpenSSL EC groups always have a co-factor present and this is used in side channel resistant code paths. However, in some cases, it is possible to construct a group using explicit parameters (instead of using a named curve). In those cases it is possible that such a group does not have the cofactor present. This can occur even where all the parameters match a known named curve. If such a curve is used then OpenSSL falls back to non-side channel resistant code paths which may result in full key recovery during an ECDSA signature operation. In order to be vulnerable an attacker would have to have the ability to time the creation of a large number of signatures where explicit parameters with no co-factor present are in use by an application using libcrypto. For the avoidance of doubt libssl is not vulnerable because explicit parameters are never used. Fixed in OpenSSL 1.1.1d (Affected 1.1.1-1.1.1c). Fixed in OpenSSL 1.1.0l (Affected 1.1.0-1.1.0k). Fixed in OpenSSL 1.0.2t (Affe

msrc логотип

CVE-2019-1547

msrc
5 месяцев назад

ECDSA remote timing attack

debian логотип

CVE-2019-1547

CVSS3: 4.7
debian
больше 6 лет назад

Normally in OpenSSL EC groups always have a co-factor present and this ...

EPSS

Процентиль: 49%
0.0026
Низкий

4.7 Medium

CVSS3

4.7 Medium

CVSS2