Описание
Уязвимость функции asn1_encode_simple_der() библиотеки Libtasn1 связана с ошибкой единичного смещения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию или вызвать отказ в обслуживании, путем передачи приложению специально созданных данных
Вендор
Novell Inc.
Red Hat Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
АО «НТЦ ИТ РОСА»
АО "НППКТ"
Наименование ПО
SUSE Linux Enterprise Server for SAP Applications
Red Hat Enterprise Linux
Suse Linux Enterprise Server
Debian GNU/Linux
Ubuntu
OpenSUSE Leap
РЕД ОС
Astra Linux Special Edition
Suse Linux Enterprise Desktop
Альт 8 СП
libtasn1
ROSA Virtualization
ОСОН ОСнова Оnyx
ROSA Virtualization 3.0
Версия ПО
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
15-LTSS (Suse Linux Enterprise Server)
12 SP4-ESPOS (Suse Linux Enterprise Server)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
16.04 ESM (Ubuntu)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
9 (Red Hat Enterprise Linux)
15 SP2-LTSS (Suse Linux Enterprise Server)
4.7 (Astra Linux Special Edition)
от 4.0 до 4.19.0 (libtasn1)
2.1 (ROSA Virtualization)
до 2.8 (ОСОН ОСнова Оnyx)
3.0 (ROSA Virtualization 3.0)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Canonical Ltd. Ubuntu 16.04 ESM
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Libtasn1:
https://bugs.gentoo.org/866237
https://gitlab.com/gnutls/libtasn1/-/commit/44a700d2051a666235748970c2df047ff207aeb5
https://gitlab.com/gnutls/libtasn1/-/issues/32
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-46848
Для Ubuntu:
https://ubuntu.com/security/CVE-2021-46848
https://ubuntu.com/security/notices/USN-5707-1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-46848
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-46848.html
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libtasn1-6 до версии 4.16.0-2+deb11u1
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2194
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2707
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 51%
0.00277
Низкий
9.1 Critical
CVSS3
9.4 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.1
ubuntu
больше 2 лет назад
GNU Libtasn1 before 4.19.0 has an ETYPE_OK off-by-one array size check that affects asn1_encode_simple_der.
CVSS3: 5.9
redhat
больше 2 лет назад
GNU Libtasn1 before 4.19.0 has an ETYPE_OK off-by-one array size check that affects asn1_encode_simple_der.
CVSS3: 9.1
nvd
больше 2 лет назад
GNU Libtasn1 before 4.19.0 has an ETYPE_OK off-by-one array size check that affects asn1_encode_simple_der.
CVSS3: 9.1
debian
больше 2 лет назад
GNU Libtasn1 before 4.19.0 has an ETYPE_OK off-by-one array size check ...
EPSS
Процентиль: 51%
0.00277
Низкий
9.1 Critical
CVSS3
9.4 Critical
CVSS2