BDU:2023-02239

Опубликовано: 27 дек. 2022

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость функций d2i_PKCS7(), d2i_PKCS7_bio() или d2i_PKCS7_fp() реализации стандарта PKCS #7 криптографической библиотеки OpenSSL связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Novell Inc.

ООО «Ред Софт»

Red Hat Inc.

OpenSSL Software Foundation

Наименование ПО

openSUSE Tumbleweed

РЕД ОС

OpenSUSE Leap

Suse Linux Enterprise Server

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

Red Hat Enterprise Linux

SUSE Manager Retail Branch Server

SUSE Manager Proxy

SUSE Manager Server

SUSE Linux Enterprise High Performance Computing

SUSE Linux Enterprise Module for Basesystem

OpenSSL

Версия ПО

- (openSUSE Tumbleweed)

7.3 (РЕД ОС)

15.4 (OpenSUSE Leap)

15 SP4 (Suse Linux Enterprise Server)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

9 (Red Hat Enterprise Linux)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Proxy)

4.3 (SUSE Manager Server)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

15 SP4 (SUSE Linux Enterprise Module for Basesystem)

9.0 Extended Update Support (Red Hat Enterprise Linux)

от 3.0.0 до 3.0.7 включительно (OpenSSL)

Тип ПО

Операционная система

Сетевое средство

Прикладное ПО информационных систем

Программное средство защиты

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Red Hat Inc. Red Hat Enterprise Linux 9

Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для OpenSSL:

https://www.openssl.org/news/secadv/20230207.txt

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=934a04f0e775309cadbef0aa6b9692e1b12a76c6

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-0216.html

Для продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2023-0216

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-0216
CVE

EPSS

Процентиль: 73%

0.00778

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2023-0216

CVSS3: 7.5

ubuntu

больше 2 лет назад

An invalid pointer dereference on read can be triggered when an application tries to load malformed PKCS7 data with the d2i_PKCS7(), d2i_PKCS7_bio() or d2i_PKCS7_fp() functions. The result of the dereference is an application crash which could lead to a denial of service attack. The TLS implementation in OpenSSL does not call this function however third party applications might call these functions on untrusted data.

CVE-2023-0216

CVSS3: 7.5

redhat

больше 2 лет назад

CVE-2023-0216

CVSS3: 7.5

nvd

больше 2 лет назад

CVE-2023-0216

CVSS3: 7.5

debian

больше 2 лет назад

An invalid pointer dereference on read can be triggered when an applic ...

GHSA-29xx-hcv2-c4cp

CVSS3: 7.5

github

больше 2 лет назад

openssl-src subject to Invalid pointer dereference in `d2i_PKCS7` functions

EPSS

Процентиль: 73%

0.00778

Низкий

7.5 High

CVSS3

7.8 High

CVSS2