Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02873

Опубликовано: 21 апр. 2020
Источник: fstec
CVSS3: 7.5
CVSS2: 5
EPSS Средний

Описание

Уязвимость функции SSL_check_chain реализации протокола TLS библиотеки OpenSSL связана с возможностью разыменования нулевого указателя в результате неправильной обработки TLS расширения «signature_algorithms_cert». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании, используя специально сформированный OpenSSL клиент

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
OpenSSL Software Foundation
Oracle Corp.
АО «ИВК»
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Astra Linux Common Edition
OpenSUSE Leap
Fedora
Astra Linux Special Edition для «Эльбрус»
OpenSSL
MySQL Enterprise Monitor
MySQL Connectors
MySQL Server
Enterprise Manager Ops Center
JD Edwards EnterpriseOne Tools
Альт 8 СП
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
2.12 «Орёл» (Astra Linux Common Edition)
15.1 (OpenSUSE Leap)
30 (Fedora)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
31 (Fedora)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
32 (Fedora)
1.1.1d (OpenSSL)
1.1.1e (OpenSSL)
1.1.1f (OpenSSL)
15.2 (OpenSUSE Leap)
до 4.0.12 включительно (MySQL Enterprise Monitor)
до 8.0.20 включительно (MySQL Enterprise Monitor)
до 8.0.20 включительно (MySQL Connectors)
до 5.6.48 включительно (MySQL Server)
до 5.7.30 включительно (MySQL Server)
до 8.0.20 включительно (MySQL Server)
12.4.0.0 (Enterprise Manager Ops Center)
от 1.1.1d до 1.1.1f включительно (OpenSSL)
до 9.2.5.0 включительно (JD Edwards EnterpriseOne Tools)
- (Альт 8 СП)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Программное средство защиты
Сетевое программное средство
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 32
Novell Inc. OpenSUSE Leap 15.2
АО «ИВК» Альт 8 СП -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20200421.txt
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00004.html
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00011.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XVEP3LAK4JSPRXFO4QF4GG2IVXADV3SO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EXDDAOWSAIEFQNBHWYE6PPYFV4QXGMCD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DDHOAATPWJCXRNFMJ2SASDBBNU5RJONY/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-1967
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl до версии 1.1.1d-0+deb10u7strelets1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.67307
Средний

7.5 High

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-1967

CVSS3: 7.5
ubuntu
почти 6 лет назад

Server or client applications that call the SSL_check_chain() function during or after a TLS 1.3 handshake may crash due to a NULL pointer dereference as a result of incorrect handling of the "signature_algorithms_cert" TLS extension. The crash occurs if an invalid or unrecognised signature algorithm is received from the peer. This could be exploited by a malicious peer in a Denial of Service attack. OpenSSL version 1.1.1d, 1.1.1e, and 1.1.1f are affected by this issue. This issue did not affect OpenSSL versions prior to 1.1.1d. Fixed in OpenSSL 1.1.1g (Affected 1.1.1d-1.1.1f).

redhat логотип

CVE-2020-1967

CVSS3: 7.5
redhat
почти 6 лет назад

Server or client applications that call the SSL_check_chain() function during or after a TLS 1.3 handshake may crash due to a NULL pointer dereference as a result of incorrect handling of the "signature_algorithms_cert" TLS extension. The crash occurs if an invalid or unrecognised signature algorithm is received from the peer. This could be exploited by a malicious peer in a Denial of Service attack. OpenSSL version 1.1.1d, 1.1.1e, and 1.1.1f are affected by this issue. This issue did not affect OpenSSL versions prior to 1.1.1d. Fixed in OpenSSL 1.1.1g (Affected 1.1.1d-1.1.1f).

nvd логотип

CVE-2020-1967

CVSS3: 7.5
nvd
почти 6 лет назад

Server or client applications that call the SSL_check_chain() function during or after a TLS 1.3 handshake may crash due to a NULL pointer dereference as a result of incorrect handling of the "signature_algorithms_cert" TLS extension. The crash occurs if an invalid or unrecognised signature algorithm is received from the peer. This could be exploited by a malicious peer in a Denial of Service attack. OpenSSL version 1.1.1d, 1.1.1e, and 1.1.1f are affected by this issue. This issue did not affect OpenSSL versions prior to 1.1.1d. Fixed in OpenSSL 1.1.1g (Affected 1.1.1d-1.1.1f).

debian логотип

CVE-2020-1967

CVSS3: 7.5
debian
почти 6 лет назад

Server or client applications that call the SSL_check_chain() function ...

suse-cvrf логотип

openSUSE-SU-2020:0945-1

suse-cvrf
больше 5 лет назад

Security update for rust, rust-cbindgen

EPSS

Процентиль: 99%
0.67307
Средний

7.5 High

CVSS3

5 Medium

CVSS2