Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04973

Опубликовано: 28 мар. 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функции X509_VERIFY_PARAM_add0_policy() библиотеки OpenSSL связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить атаку типа «человек посередине»

Вендор

Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
АО «ИВК»
Fedora Project
OpenSSL Software Foundation
АО «НТЦ ИТ РОСА»
АО "НППКТ"
Python Software Foundation
Node.js Foundation

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Debian GNU/Linux
Альт 8 СП
Fedora
OpenSSL
РОСА ХРОМ
ОСОН ОСнова Оnyx
АЛЬТ СП 10
Python
Node.js

Версия ПО

8 (Red Hat Enterprise Linux)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
- (Альт 8 СП)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
37 (Fedora)
22.10 (Ubuntu)
38 (Fedora)
от 1.0.2 до 1.0.2zh (OpenSSL)
от 1.1.1 до 1.1.1u (OpenSSL)
от 3.0.0 до 3.0.9 (OpenSSL)
от 3.1.0 до 3.1.1 (OpenSSL)
18.04 ESM (Ubuntu)
23.04 (Ubuntu)
12.4 (РОСА ХРОМ)
до 2.8 (ОСОН ОСнова Оnyx)
- (АЛЬТ СП 10)
до 3.11.4 (Python)
до 18.17.0 (Node.js)

Тип ПО

Операционная система
Программное средство защиты
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 37
Canonical Ltd. Ubuntu 22.10
Fedora Project Fedora 38
Canonical Ltd. Ubuntu 18.04 ESM
Canonical Ltd. Ubuntu 23.04
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fc814a30fc4f0bc54fcea7d9a7462f5457aab061
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=51e8a84ce742db0f6c70510d0159dad8f7825908
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=0d16b7e99aafc0b4a6d729eec65a411a7e025f0a
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openssl до версии 1.1.1n-0+deb11u5
Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства
Для ОС АЛЬТ СП 10:
установка обновления из публичного репозитория программного средства
Для Python:
https://www.python.org/ftp/python/3.11.4/python-3.11.4-amd64.exe
Для Node.js:
https://nodejs.org/download/release/v18.17.0/node-v18.17.0-x64.msi
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-0466
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J6OR7PVNTELF5NATAMOMQWNTKHVAOW4O/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IGWYXCBOJHBE4KDZDQOUYC43RNMHRDBL/
Для Ubuntu:
https://ubuntu.com/security/CVE-2023-0466
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-0466
Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2366

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 70%
0.00666
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-0466

CVSS3: 5.3
ubuntu
около 2 лет назад

The function X509_VERIFY_PARAM_add0_policy() is documented to implicitly enable the certificate policy check when doing certificate verification. However the implementation of the function does not enable the check which allows certificates with invalid or incorrect policies to pass the certificate verification. As suddenly enabling the policy check could break existing deployments it was decided to keep the existing behavior of the X509_VERIFY_PARAM_add0_policy() function. Instead the applications that require OpenSSL to perform certificate policy check need to use X509_VERIFY_PARAM_set1_policies() or explicitly enable the policy check by calling X509_VERIFY_PARAM_set_flags() with the X509_V_FLAG_POLICY_CHECK flag argument. Certificate policy checks are disabled by default in OpenSSL and are not commonly used by applications.

redhat логотип

CVE-2023-0466

CVSS3: 5.3
redhat
около 2 лет назад

The function X509_VERIFY_PARAM_add0_policy() is documented to implicitly enable the certificate policy check when doing certificate verification. However the implementation of the function does not enable the check which allows certificates with invalid or incorrect policies to pass the certificate verification. As suddenly enabling the policy check could break existing deployments it was decided to keep the existing behavior of the X509_VERIFY_PARAM_add0_policy() function. Instead the applications that require OpenSSL to perform certificate policy check need to use X509_VERIFY_PARAM_set1_policies() or explicitly enable the policy check by calling X509_VERIFY_PARAM_set_flags() with the X509_V_FLAG_POLICY_CHECK flag argument. Certificate policy checks are disabled by default in OpenSSL and are not commonly used by applications.

nvd логотип

CVE-2023-0466

CVSS3: 5.3
nvd
около 2 лет назад

The function X509_VERIFY_PARAM_add0_policy() is documented to implicitly enable the certificate policy check when doing certificate verification. However the implementation of the function does not enable the check which allows certificates with invalid or incorrect policies to pass the certificate verification. As suddenly enabling the policy check could break existing deployments it was decided to keep the existing behavior of the X509_VERIFY_PARAM_add0_policy() function. Instead the applications that require OpenSSL to perform certificate policy check need to use X509_VERIFY_PARAM_set1_policies() or explicitly enable the policy check by calling X509_VERIFY_PARAM_set_flags() with the X509_V_FLAG_POLICY_CHECK flag argument. Certificate policy checks are disabled by default in OpenSSL and are not commonly used by applications.

msrc логотип

CVE-2023-0466

CVSS3: 5.3
msrc
около 2 лет назад

Описание отсутствует

debian логотип

CVE-2023-0466

CVSS3: 5.3
debian
около 2 лет назад

The function X509_VERIFY_PARAM_add0_policy() is documented to implicit ...

EPSS

Процентиль: 70%
0.00666
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2