Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05647

Опубликовано: 11 янв. 2021
Источник: fstec
CVSS3: 5.9
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость пакета python-cryptography интерпретатора языка программирования Python связана с ошибками управления ключами RSA. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
ООО «РусБИТех-Астра»
Oracle Corp.
АО «НТЦ ИТ РОСА»
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Red Hat Software Collections
Red Hat OpenStack Platform
Ansible Tower
OpenSUSE Leap
Astra Linux Special Edition
Ansible Automation Platform
Oracle Communications Cloud Native Core Network Function Cloud Native Environment
python-cryptography
ROSA Virtualization
ОСОН ОСнова Оnyx

Версия ПО

7.0 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
13.0 (Queens) (Red Hat OpenStack Platform)
3 (Ansible Tower)
15.2 (OpenSUSE Leap)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
1.2 (Ansible Automation Platform)
15.4 (OpenSUSE Leap)
1.10.0 (Oracle Communications Cloud Native Core Network Function Cloud Native Environment)
3.2 (python-cryptography)
4.7 (Astra Linux Special Edition)
2.1 (ROSA Virtualization)
до 2.11 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7.0
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. OpenSUSE Leap 15.2
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для python-cryptography:
https://github.com/pyca/cryptography/pull/5507/commits/ce1bef6f1ee06ac497ca0c837fbd1c7ef6c2472b
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-25659
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-25659.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-25659
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения python-cryptography до версии 3.3.2-1osnova0
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2753

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 49%
0.00252
Низкий

5.9 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-25659

CVSS3: 5.9
ubuntu
больше 4 лет назад

python-cryptography 3.2 is vulnerable to Bleichenbacher timing attacks in the RSA decryption API, via timed processing of valid PKCS#1 v1.5 ciphertext.

redhat логотип

CVE-2020-25659

CVSS3: 5.9
redhat
больше 4 лет назад

python-cryptography 3.2 is vulnerable to Bleichenbacher timing attacks in the RSA decryption API, via timed processing of valid PKCS#1 v1.5 ciphertext.

nvd логотип

CVE-2020-25659

CVSS3: 5.9
nvd
больше 4 лет назад

python-cryptography 3.2 is vulnerable to Bleichenbacher timing attacks in the RSA decryption API, via timed processing of valid PKCS#1 v1.5 ciphertext.

msrc логотип

CVE-2020-25659

CVSS3: 5.9
msrc
больше 4 лет назад

Описание отсутствует

debian логотип

CVE-2020-25659

CVSS3: 5.9
debian
больше 4 лет назад

python-cryptography 3.2 is vulnerable to Bleichenbacher timing attacks ...

EPSS

Процентиль: 49%
0.00252
Низкий

5.9 Medium

CVSS3

7.8 High

CVSS2