Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04957

Опубликовано: 19 июл. 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функций DH_check(), DH_check_ex() или EVP_PKEY_param_check() библиотеки OpenSSL связана с использованием регулярного выражения c неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

OpenSSL Software Foundation
ООО «РусБИТех-Астра»
Novell Inc.
Red Hat Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
Oracle Corp.
ООО «Ред Софт»
АО «ИВК»
АО «НТЦ ИТ РОСА»
АО "НППКТ"
Project Harbor
Node.js Foundation
Camunda Services GmbH

Наименование ПО

OpenSSL
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
OpenSUSE Leap
Suse Linux Enterprise Server
SUSE Linux Enterprise High Performance Computing
Red Hat Enterprise Linux
SUSE Linux Enterprise Software Development Kit
SUSE Linux Enterprise Module for Legacy Software
Jboss Web Server
Debian GNU/Linux
JBoss Core Services
openSUSE Tumbleweed
Ubuntu
SUSE CaaS Platform
Oracle Linux
РЕД ОС
SUSE Manager Proxy
SUSE Manager Server
SUSE Enterprise Storage
SUSE Linux Enterprise Micro
Альт 8 СП
Suse Linux Enterprise Desktop
SUSE Manager Retail Branch Server
SUSE Linux Enterprise Module for Basesystem
openSUSE Leap Micro
SUSE Linux Enterprise Real Time
ROSA Virtualization
РОСА ХРОМ
АЛЬТ СП 10
ОСОН ОСнова Оnyx
SUSE Liberty Linux
harbor
Node.js
Camunda Modeler

Версия ПО

1.0.2 (OpenSSL)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15.5 (OpenSUSE Leap)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
12 (SUSE Linux Enterprise High Performance Computing)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
12 (SUSE Linux Enterprise Module for Legacy Software)
5.0 (Jboss Web Server)
10 (Debian GNU/Linux)
- (JBoss Core Services)
12 (SUSE Linux Enterprise Server for SAP Applications)
- (openSUSE Tumbleweed)
20.04 LTS (Ubuntu)
1 (JBoss Core Services)
4.0 (SUSE CaaS Platform)
8 (Oracle Linux)
15 SP1-LTSS (Suse Linux Enterprise Server)
15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
12 (Suse Linux Enterprise Server)
15 SP2 LTSS (Suse Linux Enterprise Server)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Proxy)
4.2 (SUSE Manager Server)
7 (SUSE Enterprise Storage)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)
5.1 (SUSE Linux Enterprise Micro)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
3.0.0 (OpenSSL)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Retail Branch Server)
5.2 (SUSE Linux Enterprise Micro)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
7.1 (SUSE Enterprise Storage)
15 SP4 (SUSE Linux Enterprise Module for Basesystem)
4.7 (Astra Linux Special Edition)
5.3 (SUSE Linux Enterprise Micro)
8.6 Extended Update Support (Red Hat Enterprise Linux)
5.3 (openSUSE Leap Micro)
15 SP4 (SUSE Linux Enterprise Module for Legacy Software)
15 SP3-LTSS (Suse Linux Enterprise Server)
15 SP3-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP3 (SUSE Linux Enterprise Real Time)
11 SP4-LTSS-EXTREME-CORE (Suse Linux Enterprise Server)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Basesystem)
5.4 (SUSE Linux Enterprise Micro)
15 SP5 (SUSE Linux Enterprise Module for Legacy Software)
2.1 (ROSA Virtualization)
18.04 ESM (Ubuntu)
23.04 (Ubuntu)
5.4 (openSUSE Leap Micro)
12.4 (РОСА ХРОМ)
3.1.1 (OpenSSL)
3.1.0 (OpenSSL)
- (АЛЬТ СП 10)
23.10 (Ubuntu)
до 2.9 (ОСОН ОСнова Оnyx)
8.8 Extended Update Support (Red Hat Enterprise Linux)
8 (SUSE Liberty Linux)
2.7.0 (harbor)
до 18.17.0 включительно (Node.js)
5.15.1 (Camunda Modeler)
5.7 (Jboss Web Server)

Тип ПО

Программное средство защиты
Операционная система
Прикладное ПО информационных систем
Сетевое средство
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. OpenSUSE Leap 15.5
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12
Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Oracle Corp. Oracle Linux 8
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Novell Inc. Suse Linux Enterprise Server 12
Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support
Novell Inc. openSUSE Leap Micro 5.3
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
Novell Inc. SUSE Linux Enterprise Real Time 15 SP3
Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS-EXTREME-CORE
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
Canonical Ltd. Ubuntu 18.04 ESM
Canonical Ltd. Ubuntu 23.04
Novell Inc. openSUSE Leap Micro 5.4
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 23.10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
Red Hat Inc. Red Hat Enterprise Linux 8.8 Extended Update Support
Novell Inc. SUSE Liberty Linux 8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.
Использование рекомендаций:
Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1fa20cf2f506113c761777127a38bce5068740eb
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=8780a896543a654e757db1b9396383f9d8095528
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fc9867c1e03c22ebf56943be205202e576aabf23
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openssl до версии 1.1.1w-0+deb11u1
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6709-1
https://ubuntu.com/security/notices/USN-6435-2
https://ubuntu.com/security/notices/USN-6450-1
https://ubuntu.com/security/notices/USN-6435-1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-3446
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-3446
Для программных продуктов Oracle Corp.:
https://linux.oracle.com/cve/CVE-2023-3446.html
Для РОСА ХРОМ:
https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366
Для ОС Альт 8 СП:
https://cve.basealt.ru/report-16102023-c9f2.html
Для ОС Альт СП 10:
https://cve.basealt.ru/report-19102023-c10f1-c9f2.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-3446.html
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-openssl-cve-2023-3446-cve-2023-3817/?sphrase_id=370415
Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366
Для ОС Astra Linux:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2753

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 73%
0.00807
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20230907-04

CVSS3: 5.3
redos
почти 2 года назад

Множественные уязвимости openSSL

redos логотип

ROS-20230929-01

CVSS3: 7.5
redos
больше 1 года назад

Множественные уязвимости Puppet

ubuntu логотип

CVE-2023-3446

CVSS3: 5.3
ubuntu
почти 2 года назад

Issue summary: Checking excessively long DH keys or parameters may be very slow. Impact summary: Applications that use the functions DH_check(), DH_check_ex() or EVP_PKEY_param_check() to check a DH key or DH parameters may experience long delays. Where the key or parameters that are being checked have been obtained from an untrusted source this may lead to a Denial of Service. The function DH_check() performs various checks on DH parameters. One of those checks confirms that the modulus ('p' parameter) is not too large. Trying to use a very large modulus is slow and OpenSSL will not normally use a modulus which is over 10,000 bits in length. However the DH_check() function checks numerous aspects of the key or parameters that have been supplied. Some of those checks use the supplied modulus value even if it has already been found to be too large. An application that calls DH_check() and supplies a key or parameters obtained from an untrusted source could be vulernable to a Denial o...

redhat логотип

CVE-2023-3446

CVSS3: 5.3
redhat
почти 2 года назад

Issue summary: Checking excessively long DH keys or parameters may be very slow. Impact summary: Applications that use the functions DH_check(), DH_check_ex() or EVP_PKEY_param_check() to check a DH key or DH parameters may experience long delays. Where the key or parameters that are being checked have been obtained from an untrusted source this may lead to a Denial of Service. The function DH_check() performs various checks on DH parameters. One of those checks confirms that the modulus ('p' parameter) is not too large. Trying to use a very large modulus is slow and OpenSSL will not normally use a modulus which is over 10,000 bits in length. However the DH_check() function checks numerous aspects of the key or parameters that have been supplied. Some of those checks use the supplied modulus value even if it has already been found to be too large. An application that calls DH_check() and supplies a key or parameters obtained from an untrusted source could be vulernable to a Denial o...

nvd логотип

CVE-2023-3446

CVSS3: 5.3
nvd
почти 2 года назад

Issue summary: Checking excessively long DH keys or parameters may be very slow. Impact summary: Applications that use the functions DH_check(), DH_check_ex() or EVP_PKEY_param_check() to check a DH key or DH parameters may experience long delays. Where the key or parameters that are being checked have been obtained from an untrusted source this may lead to a Denial of Service. The function DH_check() performs various checks on DH parameters. One of those checks confirms that the modulus ('p' parameter) is not too large. Trying to use a very large modulus is slow and OpenSSL will not normally use a modulus which is over 10,000 bits in length. However the DH_check() function checks numerous aspects of the key or parameters that have been supplied. Some of those checks use the supplied modulus value even if it has already been found to be too large. An application that calls DH_check() and supplies a key or parameters obtained from an untrusted source could be vulernable to a Denial

EPSS

Процентиль: 73%
0.00807
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2