BDU:2021-02221

Опубликовано: 22 апр. 2021

Источник: fstec

CVSS3: 5.3

CVSS2: 5

EPSS Низкий

Описание

Уязвимость функции отложенной аутентификации deferred_auth программного обеспечения OpenVPN связана с обходом аутентификации в силу исходной ошибки. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED

Вендор

ООО «РусБИТех-Астра»

ООО «Ред Софт»

Сообщество свободного программного обеспечения

АО «ИВК»

АО "НППКТ"

АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition

РЕД ОС

Astra Linux Special Edition для «Эльбрус»

OpenVPN

Альт 8 СП

ОСОН ОСнова Оnyx

АЛЬТ СП 10

ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

7.2 Муром (РЕД ОС)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

до 2.5.2 (OpenVPN)

до 2.4.11 (OpenVPN)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

- (Альт 8 СП)

до 2.1 (ОСОН ОСнова Оnyx)

- (АЛЬТ СП 10)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

ООО «Ред Софт» РЕД ОС 7.2 Муром

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО «ИВК» Альт 8 СП -

АО «ИВК» АЛЬТ СП 10 -

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для OpenVPN:

https://community.openvpn.net/openvpn/wiki/CVE-2020-15078

Для РЕД ОС:

https://redos.red-soft.ru/updatesec/

Для Astra Linux:

Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН Основа:

Обновление программного обеспечения openvpn до версии 2.4.7-1+deb10u1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:

обновить пакет openvpn до 2.4.7-1+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:

Обновление программного обеспечения openvpn до версии 2.4.0-6+deb9u3.strelets1

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-15078
CVE

EPSS

Процентиль: 59%

0.00391

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

CVE-2020-15078

CVSS3: 7.5

ubuntu

около 4 лет назад

OpenVPN 2.5.1 and earlier versions allows a remote attackers to bypass authentication and access control channel data on servers configured with deferred authentication, which can be used to potentially trigger further information leaks.

CVE-2020-15078

CVSS3: 7.5

nvd

около 4 лет назад

CVE-2020-15078

CVSS3: 7.5

debian

около 4 лет назад

OpenVPN 2.5.1 and earlier versions allows a remote attackers to bypass ...

GHSA-r2jp-995w-h282

CVSS3: 7.5

github

около 3 лет назад

SUSE-SU-2021:1576-1

suse-cvrf

около 4 лет назад

Security update for openvpn

EPSS

Процентиль: 59%

0.00391

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2