BDU:2023-02237

Опубликовано: 14 июл. 2020

Источник: fstec

CVSS3: 5.9

CVSS2: 5.4

EPSS Низкий

Описание

Уязвимость алгоритмов шифрования PKCS#1 v1.5, RSA-OEAP и RSASVE криптографической библиотеки OpenSSL связана с формированием побочного канала синхронизации в результате расхождения во времени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку Блейхенбахера (Bleichenbacher)

Вендор

OpenSSL Software Foundation

ООО «РусБИТех-Астра»

Novell Inc.

Red Hat Inc.

ООО «Ред Софт»

АО «ИВК»

АО «НТЦ ИТ РОСА»

Hitachi, Ltd.

АО "НППКТ"

Наименование ПО

OpenSSL

Astra Linux Special Edition

SUSE Linux Enterprise Server for SAP Applications

Suse Linux Enterprise Server

SUSE Linux Enterprise High Performance Computing

Red Hat Enterprise Linux

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise Module for Legacy Software

Jboss Web Server

JBoss Core Services

SUSE OpenStack Cloud Crowbar

openSUSE Tumbleweed

SUSE CaaS Platform

РЕД ОС

OpenSUSE Leap

SUSE Manager Proxy

SUSE Manager Server

SUSE Enterprise Storage

SUSE Linux Enterprise Micro

Альт 8 СП

Suse Linux Enterprise Desktop

SUSE Manager Retail Branch Server

openSUSE Leap Micro

SUSE Linux Enterprise Module for Basesystem

SUSE Linux Enterprise Real Time

ROSA Virtualization

RTU500 series CMU

ОСОН ОСнова Оnyx

Версия ПО

1.0.2 (OpenSSL)

1.6 «Смоленск» (Astra Linux Special Edition)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

12 (SUSE Linux Enterprise High Performance Computing)

1.1.1 (OpenSSL)

8 (Red Hat Enterprise Linux)

12 SP2-BCL (Suse Linux Enterprise Server)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

12 (SUSE Linux Enterprise Module for Legacy Software)

5.0 (Jboss Web Server)

- (JBoss Core Services)

9 (SUSE OpenStack Cloud Crowbar)

12 (SUSE Linux Enterprise Server for SAP Applications)

- (openSUSE Tumbleweed)

12 SP4-ESPOS (Suse Linux Enterprise Server)

4.0 (SUSE CaaS Platform)

12 SP4-LTSS (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)

12 (Suse Linux Enterprise Server)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

15.4 (OpenSUSE Leap)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

4.2 (SUSE Manager Proxy)

4.2 (SUSE Manager Server)

7 (SUSE Enterprise Storage)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)

5.1 (SUSE Linux Enterprise Micro)

- (Альт 8 СП)

3.0 (OpenSSL)

15 SP4 (Suse Linux Enterprise Server)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

4.2 (SUSE Manager Retail Branch Server)

5.2 (SUSE Linux Enterprise Micro)

9 (Red Hat Enterprise Linux)

15 SP2-LTSS (Suse Linux Enterprise Server)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Proxy)

4.3 (SUSE Manager Server)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

5.2 (openSUSE Leap Micro)

7.1 (SUSE Enterprise Storage)

15 SP4 (SUSE Linux Enterprise Module for Basesystem)

5.3 (SUSE Linux Enterprise Micro)

5.3 (openSUSE Leap Micro)

9.0 Extended Update Support (Red Hat Enterprise Linux)

15 SP4 (SUSE Linux Enterprise Module for Legacy Software)

15 SP3-LTSS (Suse Linux Enterprise Server)

15 SP3-ESPOS (SUSE Linux Enterprise High Performance Computing)

15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP3 (SUSE Linux Enterprise Real Time)

11 SP4-LTSS-EXTREME-CORE (Suse Linux Enterprise Server)

2.1 (ROSA Virtualization)

от 12.0.1 до 12.0.15 включительно (RTU500 series CMU)

от 12.2.1 до 12.2.12 включительно (RTU500 series CMU)

от 12.4.1 до 12.4.12 включительно (RTU500 series CMU)

от 12.6.1 до 12.6.9 включительно (RTU500 series CMU)

от 12.7.1 до 12.7.6 включительно (RTU500 series CMU)

от 13.2.1 до 13.2.6 включительно (RTU500 series CMU)

от 13.3.1 до 13.3.3 включительно (RTU500 series CMU)

от 13.4.1 до 13.4.2 включительно (RTU500 series CMU)

до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Программное средство защиты

Операционная система

Прикладное ПО информационных систем

Сетевое средство

Средство АСУ ТП

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12

Novell Inc. openSUSE Tumbleweed -

Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS

Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS

Novell Inc. openSUSE Leap Micro 5.2

Novell Inc. openSUSE Leap Micro 5.3

Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

Novell Inc. SUSE Linux Enterprise Real Time 15 SP3

Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS-EXTREME-CORE

АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для OpenSSL:

https://www.openssl.org/news/secadv/20230207.txt

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2022-4304.html

Для продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2022-4304

Для продуктов Hitachi Energy:

https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Компенсирующие меры:

- использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей;

- использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала;

- исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет);

- использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов;

- использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов

- не используйте алгоритм шифрования RSA для обмена ключами. Вместо этого используйте алгоритм DH (Diffie–Hellman) или ECDH (Elliptic Curve Diffie-Hellman), которые дополнительно обеспечивают свойство Perfect Forward Secrecy.

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения openssl до версии 1.1.1n-0+deb11u5

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211

Для Astra Linux 1.6 «Смоленск»:

обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Astra Linux Special Edition 1.7:

обновить пакет openssl до 1.1.1n-0+deb11u4-astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-4304
CVE

EPSS

Процентиль: 47%

0.00237

Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

CVE-2022-4304

CVSS3: 5.9

ubuntu

больше 2 лет назад

A timing based side channel exists in the OpenSSL RSA Decryption implementation which could be sufficient to recover a plaintext across a network in a Bleichenbacher style attack. To achieve a successful decryption an attacker would have to be able to send a very large number of trial messages for decryption. The vulnerability affects all RSA padding modes: PKCS#1 v1.5, RSA-OEAP and RSASVE. For example, in a TLS connection, RSA is commonly used by a client to send an encrypted pre-master secret to the server. An attacker that had observed a genuine connection between a client and a server could use this flaw to send trial messages to the server and record the time taken to process them. After a sufficiently large number of messages the attacker could recover the pre-master secret used for the original connection and thus be able to decrypt the application data sent over that connection.

CVE-2022-4304

CVSS3: 5.9

redhat

больше 2 лет назад

CVE-2022-4304

CVSS3: 5.9

nvd

больше 2 лет назад

CVE-2022-4304

CVSS3: 5.9

msrc

больше 2 лет назад

Описание отсутствует

CVE-2022-4304

CVSS3: 5.9

debian

больше 2 лет назад

A timing based side channel exists in the OpenSSL RSA Decryption imple ...

EPSS

Процентиль: 47%

0.00237

Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2