Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02963

Опубликовано: 04 мая 2016
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость функции asn1_d2i_read_bio (crypto/asn1/a_d2i_fp.c) библиотеки OpenSSL связана с ошибками управления ресурсом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Novell Inc.
Canonical Ltd.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
OpenSSL Software Foundation

Наименование ПО

openSUSE
Ubuntu
SUSE OpenStack Cloud
Suse Linux Enterprise Server
Red Hat Enterprise Linux
Debian GNU/Linux
OpenSUSE Leap
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Software Development Kit
SUSE Linux Enterprise Server for SAP Applications
Astra Linux Common Edition
SUSE Linux Enterprise Module for Basesystem
SUSE Studio Onsite
SUSE Linux Enterprise Module for Legacy Software
JBoss Enterprise Application Platform
SUSE Linux Enterprise High Performance Computing
SUSE Manager
SUSE Manager Proxy
openSUSE Tumbleweed
SUSE Linux Enterprise Module for Containers
Red Hat JBoss Enterprise Web Server
SUSE Linux Enterprise Server for Raspberry Pi
JBoss Core Services
Jboss Web Server
OpenSSL

Версия ПО

13.1 (openSUSE)
12.04 LTS (Ubuntu)
14.04 LTS (Ubuntu)
5.0 (SUSE OpenStack Cloud)
5.0 (SUSE OpenStack Cloud)
12 (Suse Linux Enterprise Server)
12 (Suse Linux Enterprise Server)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
42.2 (OpenSUSE Leap)
42.3 (OpenSUSE Leap)
42.1 (OpenSUSE Leap)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP3 (SUSE Linux Enterprise Software Development Kit)
12 SP4 (SUSE Linux Enterprise Software Development Kit)
8.0 (Debian GNU/Linux)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
11 SP3 (SUSE Linux Enterprise Server for SAP Applications)
11 SP3 LTSS (Suse Linux Enterprise Server)
11 SP4 (Suse Linux Enterprise Server)
11 SP4 (SUSE Linux Enterprise Software Development Kit)
15.10 (Ubuntu)
2.12 «Орёл» (Astra Linux Common Edition)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
15.0 (OpenSUSE Leap)
1.3 (SUSE Studio Onsite)
15 SP1 (SUSE Linux Enterprise Module for Legacy Software)
15 (SUSE Linux Enterprise Module for Legacy Software)
11 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
11 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
12 (SUSE Linux Enterprise Module for Legacy Software)
11-SECURITY (Suse Linux Enterprise Server)
11-SECURITY (SUSE Linux Enterprise Server for SAP Applications)
6.4 (JBoss Enterprise Application Platform)
10 (Debian GNU/Linux)
12 SP2 (Suse Linux Enterprise Desktop)
12 SP2 (Suse Linux Enterprise Server)
12 SP2 (SUSE Linux Enterprise Software Development Kit)
6.7 Extended Update Support (Red Hat Enterprise Linux)
12 SP5 (SUSE Linux Enterprise High Performance Computing)
12 SP1 (Suse Linux Enterprise Desktop)
11 SP2-LTSS (Suse Linux Enterprise Server)
12 SP1 (Suse Linux Enterprise Server)
11 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1 (SUSE Linux Enterprise Software Development Kit)
2.1 (SUSE Manager)
2.1 (SUSE Manager Proxy)
- (openSUSE Tumbleweed)
12 (Suse Linux Enterprise Desktop)
12 (SUSE Linux Enterprise Module for Containers)
2 (Red Hat JBoss Enterprise Web Server)
12 SP2 (SUSE Linux Enterprise Server for Raspberry Pi)
3 (Red Hat JBoss Enterprise Web Server)
1 (JBoss Core Services)
2.1 (Jboss Web Server)
12 (SUSE Linux Enterprise Software Development Kit)
10 SP4 LTSS (Suse Linux Enterprise Server)
до 1.0.2g включительно (OpenSSL)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты

Операционные системы и аппаратные платформы

Novell Inc. openSUSE 13.1
Canonical Ltd. Ubuntu 12.04 LTS
Canonical Ltd. Ubuntu 14.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.2
Novell Inc. OpenSUSE Leap 42.3
Novell Inc. OpenSUSE Leap 42.1
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Canonical Ltd. Ubuntu 15.10
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Novell Inc. OpenSUSE Leap 15.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Red Hat Inc. Red Hat Enterprise Linux 6.7 Extended Update Support
Novell Inc. openSUSE Tumbleweed -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для openssl:
Обновление программного обеспечения до 1.0.2e-1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета openssl) до 1.1.1d-0+deb10u2 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета openssl) до 1.1.1d-0+deb10u2 или более поздней версии
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2016-2109/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2016-2109
Для Ubuntu:
https://usn.ubuntu.com/2959-1/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.57944
Средний

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-2109

CVSS3: 7.5
ubuntu
около 9 лет назад

The asn1_d2i_read_bio function in crypto/asn1/a_d2i_fp.c in the ASN.1 BIO implementation in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (memory consumption) via a short invalid encoding.

redhat логотип

CVE-2016-2109

CVSS3: 4
redhat
около 9 лет назад

The asn1_d2i_read_bio function in crypto/asn1/a_d2i_fp.c in the ASN.1 BIO implementation in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (memory consumption) via a short invalid encoding.

nvd логотип

CVE-2016-2109

CVSS3: 7.5
nvd
около 9 лет назад

The asn1_d2i_read_bio function in crypto/asn1/a_d2i_fp.c in the ASN.1 BIO implementation in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (memory consumption) via a short invalid encoding.

debian логотип

CVE-2016-2109

CVSS3: 7.5
debian
около 9 лет назад

The asn1_d2i_read_bio function in crypto/asn1/a_d2i_fp.c in the ASN.1 ...

github логотип

GHSA-mq63-fmfx-8qc3

CVSS3: 7.5
github
около 3 лет назад

The asn1_d2i_read_bio function in crypto/asn1/a_d2i_fp.c in the ASN.1 BIO implementation in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (memory consumption) via a short invalid encoding.

EPSS

Процентиль: 98%
0.57944
Средний

7.5 High

CVSS3

7.8 High

CVSS2