Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00873

Опубликовано: 09 сент. 2020
Источник: fstec
CVSS3: 3.7
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость реализации библиотеки OpenSSL связана с недостаточной стойкостью шифрования. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перехватить все зашифрованные сообщения, отправленные через соединение TLS

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Novell Inc.
OpenSSL Software Foundation
Hitachi, Ltd.
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Debian GNU/Linux
PeopleSoft Enterprise PeopleTools
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
Astra Linux Common Edition
Astra Linux Special Edition для «Эльбрус»
OpenSSL
Hitachi Energy Gateway Station (GWS)
FACTS Control Platform (FCP)
ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
2.12 «Орёл» (Astra Linux Common Edition)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
8.58 (PeopleSoft Enterprise PeopleTools)
от 1.0.2 до 1.0.2v (OpenSSL)
от 1.0.2 до 1.0.2v включительно (OpenSSL)
до 3.2.0.0 (Hitachi Energy Gateway Station (GWS))
до 3.12.0 включительно (FACTS Control Platform (FCP))
до 2.3.0 включительно (FACTS Control Platform (FCP))
до 1.3.0 включительно (FACTS Control Platform (FCP))
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты
Средство АСУ ТП

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenSSL:
Обновление библиотеки OpenSSL до более новой версии.
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-1968/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
Для программных продуктов Hitachi Energy:
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01
Для Ubuntu:
https://usn.ubuntu.com/4504-1/
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-1968
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 74%
0.00844
Низкий

3.7 Low

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-1968

CVSS3: 3.7
ubuntu
больше 5 лет назад

The Raccoon attack exploits a flaw in the TLS specification which can lead to an attacker being able to compute the pre-master secret in connections which have used a Diffie-Hellman (DH) based ciphersuite. In such a case this would result in the attacker being able to eavesdrop on all encrypted communications sent over that TLS connection. The attack can only be exploited if an implementation re-uses a DH secret across multiple TLS connections. Note that this issue only impacts DH ciphersuites and not ECDH ciphersuites. This issue affects OpenSSL 1.0.2 which is out of support and no longer receiving public updates. OpenSSL 1.1.1 is not vulnerable to this issue. Fixed in OpenSSL 1.0.2w (Affected 1.0.2-1.0.2v).

redhat логотип

CVE-2020-1968

CVSS3: 5.9
redhat
больше 5 лет назад

The Raccoon attack exploits a flaw in the TLS specification which can lead to an attacker being able to compute the pre-master secret in connections which have used a Diffie-Hellman (DH) based ciphersuite. In such a case this would result in the attacker being able to eavesdrop on all encrypted communications sent over that TLS connection. The attack can only be exploited if an implementation re-uses a DH secret across multiple TLS connections. Note that this issue only impacts DH ciphersuites and not ECDH ciphersuites. This issue affects OpenSSL 1.0.2 which is out of support and no longer receiving public updates. OpenSSL 1.1.1 is not vulnerable to this issue. Fixed in OpenSSL 1.0.2w (Affected 1.0.2-1.0.2v).

nvd логотип

CVE-2020-1968

CVSS3: 3.7
nvd
больше 5 лет назад

The Raccoon attack exploits a flaw in the TLS specification which can lead to an attacker being able to compute the pre-master secret in connections which have used a Diffie-Hellman (DH) based ciphersuite. In such a case this would result in the attacker being able to eavesdrop on all encrypted communications sent over that TLS connection. The attack can only be exploited if an implementation re-uses a DH secret across multiple TLS connections. Note that this issue only impacts DH ciphersuites and not ECDH ciphersuites. This issue affects OpenSSL 1.0.2 which is out of support and no longer receiving public updates. OpenSSL 1.1.1 is not vulnerable to this issue. Fixed in OpenSSL 1.0.2w (Affected 1.0.2-1.0.2v).

debian логотип

CVE-2020-1968

CVSS3: 3.7
debian
больше 5 лет назад

The Raccoon attack exploits a flaw in the TLS specification which can ...

suse-cvrf логотип

SUSE-SU-2020:14511-1

suse-cvrf
больше 5 лет назад

Security update for openssl1

EPSS

Процентиль: 74%
0.00844
Низкий

3.7 Low

CVSS3

4.3 Medium

CVSS2