Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-00300

Опубликовано: 06 дек. 2019
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функции PA-RISC CRYPTO_memcmp библиотеки OpenSSL связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Novell Inc.
OpenSSL Software Foundation
Fedora Project
ООО «Открытая мобильная платформа»
АО «ИВК»
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
PeopleSoft Enterprise PeopleTools
Astra Linux Special Edition
Astra Linux Common Edition
OpenSUSE Leap
JBoss Core Services
OpenSSL
Astra Linux Special Edition для «Эльбрус»
Fedora
MySQL Enterprise Monitor
Enterprise Manager Ops Center
JD Edwards EnterpriseOne Tools
ОС Аврора
Альт 8 СП
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
10 (Debian GNU/Linux)
- (JBoss Core Services)
от 1.0.2 до 1.0.2t включительно (OpenSSL)
от 1.1.1 до 1.1.1d включительно (OpenSSL)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
32 (Fedora)
8.58 (PeopleSoft Enterprise PeopleTools)
до 4.0.12 включительно (MySQL Enterprise Monitor)
до 8.0.20 включительно (MySQL Enterprise Monitor)
12.4.0.0 (Enterprise Manager Ops Center)
до 9.2.5.0 (JD Edwards EnterpriseOne Tools)
до 3.2.3.31 (ОС Аврора)
до 3.2.3.31 (ОС Аврора)
до 3.2.3.31 (ОС Аврора)
до 3.2.3.31 (ОС Аврора)
- (Альт 8 СП)
до 2.1 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 32
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
ООО «Открытая мобильная платформа» ОС Аврора до 3.2.3.31
АО «ИВК» Альт 8 СП -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для openssl:
Обновление библиотеки OpenSSL до версии 1.1.1e-dev, 1.0.2u-dev или новее
Для Debian:
Обновление программного обеспечения (пакета openssl1.0) до 1.0.2u-1~deb9u1 или более поздней версии
Для Astra:
Обновление программного обеспечения (пакета openssl1.0) до 1.0.2u-1~deb9u1 или более поздней версии
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-1551
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00030.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XVEP3LAK4JSPRXFO4QF4GG2IVXADV3SO/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323
Для ОСОН Основа:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u6
Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 89%
0.0453
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251016-04

CVSS3: 9.8
redos
4 дня назад

Множественные уязвимости edk2-tools

ubuntu логотип

CVE-2019-1551

CVSS3: 5.3
ubuntu
почти 6 лет назад

There is an overflow bug in the x64_64 Montgomery squaring procedure used in exponentiation with 512-bit moduli. No EC algorithms are affected. Analysis suggests that attacks against 2-prime RSA1024, 3-prime RSA1536, and DSA1024 as a result of this defect would be very difficult to perform and are not believed likely. Attacks against DH512 are considered just feasible. However, for an attack the target would have to re-use the DH512 private key, which is not recommended anyway. Also applications directly using the low level API BN_mod_exp may be affected if they use BN_FLG_CONSTTIME. Fixed in OpenSSL 1.1.1e (Affected 1.1.1-1.1.1d). Fixed in OpenSSL 1.0.2u (Affected 1.0.2-1.0.2t).

redhat логотип

CVE-2019-1551

CVSS3: 4.8
redhat
почти 6 лет назад

There is an overflow bug in the x64_64 Montgomery squaring procedure used in exponentiation with 512-bit moduli. No EC algorithms are affected. Analysis suggests that attacks against 2-prime RSA1024, 3-prime RSA1536, and DSA1024 as a result of this defect would be very difficult to perform and are not believed likely. Attacks against DH512 are considered just feasible. However, for an attack the target would have to re-use the DH512 private key, which is not recommended anyway. Also applications directly using the low level API BN_mod_exp may be affected if they use BN_FLG_CONSTTIME. Fixed in OpenSSL 1.1.1e (Affected 1.1.1-1.1.1d). Fixed in OpenSSL 1.0.2u (Affected 1.0.2-1.0.2t).

nvd логотип

CVE-2019-1551

CVSS3: 5.3
nvd
почти 6 лет назад

There is an overflow bug in the x64_64 Montgomery squaring procedure used in exponentiation with 512-bit moduli. No EC algorithms are affected. Analysis suggests that attacks against 2-prime RSA1024, 3-prime RSA1536, and DSA1024 as a result of this defect would be very difficult to perform and are not believed likely. Attacks against DH512 are considered just feasible. However, for an attack the target would have to re-use the DH512 private key, which is not recommended anyway. Also applications directly using the low level API BN_mod_exp may be affected if they use BN_FLG_CONSTTIME. Fixed in OpenSSL 1.1.1e (Affected 1.1.1-1.1.1d). Fixed in OpenSSL 1.0.2u (Affected 1.0.2-1.0.2t).

debian логотип

CVE-2019-1551

CVSS3: 5.3
debian
почти 6 лет назад

There is an overflow bug in the x64_64 Montgomery squaring procedure u ...

EPSS

Процентиль: 89%
0.0453
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2