Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-03510

Опубликовано: 01 дек. 2020
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость программного средства для взаимодействия с серверами CURL связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность данных с помощью OCSP-ответа

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Daniel Stenberg
АО «Концерн ВНИИНС»
АО «ИВК»
АО "НППКТ"
АО «Лаборатория Касперского»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Astra Linux Common Edition
cURL
ОС ОН «Стрелец»
Альт 8 СП
ОСОН ОСнова Оnyx
Kaspersky Security для Microsoft Exchange Server

Версия ПО

9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
от 7.41.0 до 7.74.0 (cURL)
1.0 (ОС ОН «Стрелец»)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
до 2.1 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)
9.7.364.0 (Kaspersky Security для Microsoft Exchange Server)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для CURL:
использование рекомендаций производителя: https://curl.se/docs/CVE-2020-8286.html
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-8286
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОСОН Основа:
Обновление программного обеспечения curl до версии 7.64.0-4+deb10u2
Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Kaspersky Security для Microsoft Exchange Server:
При настройке пользовательского адреса источника обновлений необходимо указывать сетевую или локальную папку. При использовании в качестве источника обновлений публичных серверов "Лаборатории Касперского" уязвимости неприменимы.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00384
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-8286

CVSS3: 7.5
ubuntu
больше 5 лет назад

curl 7.41.0 through 7.73.0 is vulnerable to an improper check for certificate revocation due to insufficient verification of the OCSP response.

redhat логотип

CVE-2020-8286

CVSS3: 7.4
redhat
больше 5 лет назад

curl 7.41.0 through 7.73.0 is vulnerable to an improper check for certificate revocation due to insufficient verification of the OCSP response.

nvd логотип

CVE-2020-8286

CVSS3: 7.5
nvd
больше 5 лет назад

curl 7.41.0 through 7.73.0 is vulnerable to an improper check for certificate revocation due to insufficient verification of the OCSP response.

msrc логотип

CVE-2020-8286

CVSS3: 7.5
msrc
больше 5 лет назад

curl 7.41.0 through 7.73.0 is vulnerable to an improper check for certificate revocation due to insufficient verification of the OCSP response.

debian логотип

CVE-2020-8286

CVSS3: 7.5
debian
больше 5 лет назад

curl 7.41.0 through 7.73.0 is vulnerable to an improper check for cert ...

EPSS

Процентиль: 60%
0.00384
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2