Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01625

Опубликовано: 08 нояб. 2021
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функции mbedtls_pkcs12_derivation реализации протоколов TLS и SSL программного обеспечения Mbed TLS связана с ошибками при обработке длины входного пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ARM Limited
АО "НППКТ"

Наименование ПО

Mbed TLS
ОСОН ОСнова Оnyx

Версия ПО

до 2.16.12 (Mbed TLS)
до 2.28.0 (Mbed TLS)
до 3.1.0 (Mbed TLS)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
Компенсирующие меры:
-использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IPS/IDS) для фильтрации и контроля запросов, которые могут позволить нарушителю эксплуатировать уязвимость;
-сегментирование сети для изоляции критически важных приложений от внешних сетей (в т.ч. Интернет)
Информация от производителя:
https://github.com/ARMmbed/mbedtls/pull/5311
https://github.com/ARMmbed/mbedtls/pull/5310
https://github.com/ARMmbed/mbedtls/pull/5155
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения mbedtls до версии 2.28.1-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 71%
0.00668
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-43666

CVSS3: 7.5
ubuntu
почти 4 года назад

A Denial of Service vulnerability exists in mbed TLS 3.0.0 and earlier in the mbedtls_pkcs12_derivation function when an input password's length is 0.

nvd логотип

CVE-2021-43666

CVSS3: 7.5
nvd
почти 4 года назад

A Denial of Service vulnerability exists in mbed TLS 3.0.0 and earlier in the mbedtls_pkcs12_derivation function when an input password's length is 0.

msrc логотип

CVE-2021-43666

msrc
5 месяцев назад

A Denial of Service vulnerability exists in mbed TLS 3.0.0 and earlier in the mbedtls_pkcs12_derivation function when an input password's length is 0.

debian логотип

CVE-2021-43666

CVSS3: 7.5
debian
почти 4 года назад

A Denial of Service vulnerability exists in mbed TLS 3.0.0 and earlier ...

github логотип

GHSA-cgwh-hfr7-38m2

CVSS3: 7.5
github
почти 4 года назад

A Denial of Service vulnerability exists in mbed TLS 3.0.0 and earlier in the mbedtls_pkcs12_derivation function when an input password's length is 0.

EPSS

Процентиль: 71%
0.00668
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2