BDU:2023-04960

Опубликовано: 31 июл. 2023

Источник: fstec

CVSS3: 5.3

CVSS2: 5

EPSS Низкий

Описание

Уязвимость функций DH_check(), DH_check_ex(), EVP_PKEY_param_check() библиотеки OpenSSL связана с чрезмерным итерированием. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

Novell Inc.

Red Hat Inc.

Сообщество свободного программного обеспечения

Canonical Ltd.

ООО «Ред Софт»

АО «ИВК»

АО «НТЦ ИТ РОСА»

OpenSSL Software Foundation

АО "НППКТ"

Project Harbor

Node.js Foundation

Camunda Services GmbH

Наименование ПО

Astra Linux Special Edition

OpenSUSE Leap

Red Hat Enterprise Linux

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

Debian GNU/Linux

openSUSE Tumbleweed

Ubuntu

SUSE CaaS Platform

SUSE Linux Enterprise High Performance Computing

РЕД ОС

SUSE Manager Proxy

SUSE Manager Server

SUSE Linux Enterprise Micro

Альт 8 СП

Suse Linux Enterprise Desktop

SUSE Manager Retail Branch Server

SUSE Enterprise Storage

SUSE Linux Enterprise Module for Basesystem

openSUSE Leap Micro

SUSE Linux Enterprise Module for Legacy Software

ROSA Virtualization

Red Hat JBoss Core Services

РОСА ХРОМ

OpenSSL

Red Hat Satellite

АЛЬТ СП 10

ОСОН ОСнова Оnyx

Red Hat JBoss Web Server

SUSE Liberty Linux

harbor

Node.js

Camunda Modeler

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

15.5 (OpenSUSE Leap)

8 (Red Hat Enterprise Linux)

12 SP2-BCL (Suse Linux Enterprise Server)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

10 (Debian GNU/Linux)

- (openSUSE Tumbleweed)

20.04 LTS (Ubuntu)

4.0 (SUSE CaaS Platform)

15 SP1-LTSS (Suse Linux Enterprise Server)

15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)

16.04 ESM (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

15 SP2 LTSS (Suse Linux Enterprise Server)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

15.4 (OpenSUSE Leap)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

4.2 (SUSE Manager Proxy)

4.2 (SUSE Manager Server)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)

5.1 (SUSE Linux Enterprise Micro)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

4.2 (SUSE Manager Retail Branch Server)

5.2 (SUSE Linux Enterprise Micro)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Proxy)

4.3 (SUSE Manager Server)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

7.1 (SUSE Enterprise Storage)

15 SP4 (SUSE Linux Enterprise Module for Basesystem)

4.7 (Astra Linux Special Edition)

5.3 (SUSE Linux Enterprise Micro)

8.6 Extended Update Support (Red Hat Enterprise Linux)

5.3 (openSUSE Leap Micro)

15 SP4 (SUSE Linux Enterprise Module for Legacy Software)

15 SP3-LTSS (Suse Linux Enterprise Server)

15 SP3-ESPOS (SUSE Linux Enterprise High Performance Computing)

15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Basesystem)

5.4 (SUSE Linux Enterprise Micro)

15 SP5 (SUSE Linux Enterprise Module for Legacy Software)

2.1 (ROSA Virtualization)

18.04 ESM (Ubuntu)

23.04 (Ubuntu)

- (Red Hat JBoss Core Services)

5.4 (openSUSE Leap Micro)

12.4 (РОСА ХРОМ)

от 3.0.0 до 3.0.10 (OpenSSL)

6.13 for RHEL 8 (Red Hat Satellite)

- (АЛЬТ СП 10)

23.10 (Ubuntu)

1 (Red Hat JBoss Core Services)

RHEL 8 (Red Hat JBoss Core Services)

RHEL 7 (Red Hat JBoss Core Services)

до 2.9 (ОСОН ОСнова Оnyx)

8.8 Extended Update Support (Red Hat Enterprise Linux)

5.7 on RHEL7 (Red Hat JBoss Web Server)

5.7 on RHEL 8 (Red Hat JBoss Web Server)

5.7 on RHEL 9 (Red Hat JBoss Web Server)

8 (SUSE Liberty Linux)

2.7.0 (harbor)

до 18.17.0 включительно (Node.js)

5.15.1 (Camunda Modeler)

от 3.1.0 до 3.1.2 (OpenSSL)

от 1.1.1 до 1.1.1v (OpenSSL)

от 1.0.2 до 1.0.2zi (OpenSSL)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое средство

Микропрограммный код аппаратных компонент компьютера

Программное средство защиты

Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. OpenSUSE Leap 15.5

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. openSUSE Tumbleweed -

Canonical Ltd. Ubuntu 20.04 LTS

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Canonical Ltd. Ubuntu 16.04 ESM

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support

Novell Inc. openSUSE Leap Micro 5.3

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

Canonical Ltd. Ubuntu 18.04 ESM

Canonical Ltd. Ubuntu 23.04

Novell Inc. openSUSE Leap Micro 5.4

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «ИВК» АЛЬТ СП 10 -

Canonical Ltd. Ubuntu 23.10

АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Red Hat Inc. Red Hat Enterprise Linux 8.8 Extended Update Support

Novell Inc. SUSE Liberty Linux 8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- отключение/удаление неиспользуемых учетных записей пользователей;

- минимизация пользовательских привилегий;

- использование антивирусных средств защиты;

- контроль действий пользователей.

Использование рекомендаций:

Для OpenSSL:

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=6a1eb62c29db6cb5eec707f9338aee00f44e26f5

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=869ad69aadd985c7b8ca6f4e5dd0eb274c9f3644

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=9002fd07327a91f35ba6c1307e71fa6fd4409b7f

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=91ddeba0f2269b017dc06c46c993a788974b1aa5

Для ОС Альт 8 СП:

https://cve.basealt.ru/report-16102023-c9f2.html

Для АЛЬТ СП 10:

https://cve.basealt.ru/report-19102023-c10f1-c9f2.html

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения openssl до версии 1.1.1w-0+deb11u1

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-3817

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2023-3817#cve-cvss-v3

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-3817.html

Для Ubuntu:

https://ubuntu.com/security/notices/USN-6709-1

https://ubuntu.com/security/notices/USN-6435-2

https://ubuntu.com/security/notices/USN-6450-1

https://ubuntu.com/security/notices/USN-6435-1

Для программных продуктов АО "ИВК":

установка обновления из публичного репозитория программного средства

Для РЕД ОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-openssl-cve-2023-3446-cve-2023-3817/

Для РОСА ХРОМ:

https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366

Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366

Для ОС Astra Linux:

обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::

Для Astra Linux Special Edition 4.7 для архитектуры ARM:

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2753

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-3817
CVE

EPSS

Процентиль: 50%

0.00271

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ROS-20230907-04

CVSS3: 5.3

redos

почти 2 года назад

Множественные уязвимости openSSL

ROS-20230929-01

CVSS3: 7.5

redos

больше 1 года назад

Множественные уязвимости Puppet

CVE-2023-3817

CVSS3: 5.3

ubuntu

почти 2 года назад

Issue summary: Checking excessively long DH keys or parameters may be very slow. Impact summary: Applications that use the functions DH_check(), DH_check_ex() or EVP_PKEY_param_check() to check a DH key or DH parameters may experience long delays. Where the key or parameters that are being checked have been obtained from an untrusted source this may lead to a Denial of Service. The function DH_check() performs various checks on DH parameters. After fixing CVE-2023-3446 it was discovered that a large q parameter value can also trigger an overly long computation during some of these checks. A correct q value, if present, cannot be larger than the modulus p parameter, thus it is unnecessary to perform these checks if q is larger than p. An application that calls DH_check() and supplies a key or parameters obtained from an untrusted source could be vulnerable to a Denial of Service attack. The function DH_check() is itself called by a number of other OpenSSL functions. An application ca...

CVE-2023-3817

CVSS3: 5.3

redhat

почти 2 года назад

CVE-2023-3817

CVSS3: 5.3

nvd

почти 2 года назад

EPSS

Процентиль: 50%

0.00271

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2