Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02909

Опубликовано: 04 мая 2017
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость библиотеки OpenSSL связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
ООО «РусБИТех-Астра»
OpenSSL Software Foundation

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
OpenSUSE Leap
Suse Linux Enterprise Desktop
SUSE Enterprise Storage
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Software Development Kit
Suse Linux Enterprise Server
SUSE Linux Enterprise Module for Web Scripting
Astra Linux Common Edition
SUSE Linux Enterprise Module for Basesystem
SUSE Linux Enterprise Module for Legacy Software
SUSE Linux Enterprise Module for Containers
OpenSSL
SUSE Linux Enterprise Module for High Performance Computing
SUSE Linux Enterprise Server for Raspberry Pi

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
42.2 (OpenSUSE Leap)
42.3 (OpenSUSE Leap)
42.1 (OpenSUSE Leap)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
4 (SUSE Enterprise Storage)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Software Development Kit)
12 SP4 (SUSE Linux Enterprise Software Development Kit)
8.0 (Debian GNU/Linux)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
12 (SUSE Linux Enterprise Module for Web Scripting)
2.12 «Орёл» (Astra Linux Common Edition)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
15.0 (OpenSUSE Leap)
15 SP1 (SUSE Linux Enterprise Module for Legacy Software)
15 (SUSE Linux Enterprise Module for Legacy Software)
12-LTSS (Suse Linux Enterprise Server)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
11-SECURITY (Suse Linux Enterprise Server)
10 (Debian GNU/Linux)
12 SP2 (Suse Linux Enterprise Desktop)
12 SP2 (Suse Linux Enterprise Server)
12 SP2 (SUSE Linux Enterprise Software Development Kit)
12 SP1 (Suse Linux Enterprise Desktop)
12 SP1 (Suse Linux Enterprise Server)
12 SP1 (SUSE Linux Enterprise Software Development Kit)
12 (SUSE Linux Enterprise Module for Containers)
до 1.1.0k (OpenSSL)
12 SP5 (SUSE Linux Enterprise Module for High Performance Computing)
12 SP2 (SUSE Linux Enterprise Server for Raspberry Pi)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.2
Novell Inc. OpenSUSE Leap 42.3
Novell Inc. OpenSUSE Leap 42.1
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Novell Inc. OpenSUSE Leap 15.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для openssl:
Обновление программного обеспечения до 1.0.1t-1+deb8u8 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u8 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u8 или более поздней версии
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2017-3731/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-3731

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.07549
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-3731

CVSS3: 7.5
ubuntu
больше 8 лет назад

If an SSL/TLS server or client is running on a 32-bit host, and a specific cipher is being used, then a truncated packet can cause that server or client to perform an out-of-bounds read, usually resulting in a crash. For OpenSSL 1.1.0, the crash can be triggered when using CHACHA20/POLY1305; users should upgrade to 1.1.0d. For Openssl 1.0.2, the crash can be triggered when using RC4-MD5; users who have not disabled that algorithm should update to 1.0.2k.

redhat логотип

CVE-2017-3731

CVSS3: 5.9
redhat
больше 8 лет назад

If an SSL/TLS server or client is running on a 32-bit host, and a specific cipher is being used, then a truncated packet can cause that server or client to perform an out-of-bounds read, usually resulting in a crash. For OpenSSL 1.1.0, the crash can be triggered when using CHACHA20/POLY1305; users should upgrade to 1.1.0d. For Openssl 1.0.2, the crash can be triggered when using RC4-MD5; users who have not disabled that algorithm should update to 1.0.2k.

nvd логотип

CVE-2017-3731

CVSS3: 7.5
nvd
больше 8 лет назад

If an SSL/TLS server or client is running on a 32-bit host, and a specific cipher is being used, then a truncated packet can cause that server or client to perform an out-of-bounds read, usually resulting in a crash. For OpenSSL 1.1.0, the crash can be triggered when using CHACHA20/POLY1305; users should upgrade to 1.1.0d. For Openssl 1.0.2, the crash can be triggered when using RC4-MD5; users who have not disabled that algorithm should update to 1.0.2k.

debian логотип

CVE-2017-3731

CVSS3: 7.5
debian
больше 8 лет назад

If an SSL/TLS server or client is running on a 32-bit host, and a spec ...

github логотип

GHSA-3cp9-4w64-73cg

CVSS3: 7.5
github
больше 3 лет назад

If an SSL/TLS server or client is running on a 32-bit host, and a specific cipher is being used, then a truncated packet can cause that server or client to perform an out-of-bounds read, usually resulting in a crash. For OpenSSL 1.1.0, the crash can be triggered when using CHACHA20/POLY1305; users should upgrade to 1.1.0d. For Openssl 1.0.2, the crash can be triggered when using RC4-MD5; users who have not disabled that algorithm should update to 1.0.2k.

EPSS

Процентиль: 91%
0.07549
Низкий

7.5 High

CVSS3

7.8 High

CVSS2