Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05362

Опубликовано: 04 июл. 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость средства криптографической защиты Bouncy Castle связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Вендор

Сообщество свободного программного обеспечения
OpenSearch
Legion of the Bouncy Castle Inc.
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Logstash
Bouncy Castle FIPS Java API (BC-FJA)
ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)
8.9.0 (Logstash)
до 1.74 (Bouncy Castle FIPS Java API (BC-FJA))
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Legion of the Bouncy Castle Inc.:
https://github.com/bcgit/bc-java/commit/e8c409a8389c815ea3fda5e8b94c92fdfe583bcc
https://github.com/bcgit/bc-java/wiki/CVE-2023-33201
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/08/msg00000.html
Компенсирующие меры для программных продуктов OpenSearch:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения bouncycastle до версии 1.60-1+deb10u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00396
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-33201

CVSS3: 5.3
ubuntu
больше 2 лет назад

Bouncy Castle For Java before 1.74 is affected by an LDAP injection vulnerability. The vulnerability only affects applications that use an LDAP CertStore from Bouncy Castle to validate X.509 certificates. During the certificate validation process, Bouncy Castle inserts the certificate's Subject Name into an LDAP search filter without any escaping, which leads to an LDAP injection vulnerability.

redhat логотип

CVE-2023-33201

CVSS3: 5.3
redhat
больше 2 лет назад

Bouncy Castle For Java before 1.74 is affected by an LDAP injection vulnerability. The vulnerability only affects applications that use an LDAP CertStore from Bouncy Castle to validate X.509 certificates. During the certificate validation process, Bouncy Castle inserts the certificate's Subject Name into an LDAP search filter without any escaping, which leads to an LDAP injection vulnerability.

nvd логотип

CVE-2023-33201

CVSS3: 5.3
nvd
больше 2 лет назад

Bouncy Castle For Java before 1.74 is affected by an LDAP injection vulnerability. The vulnerability only affects applications that use an LDAP CertStore from Bouncy Castle to validate X.509 certificates. During the certificate validation process, Bouncy Castle inserts the certificate's Subject Name into an LDAP search filter without any escaping, which leads to an LDAP injection vulnerability.

debian логотип

CVE-2023-33201

CVSS3: 5.3
debian
больше 2 лет назад

Bouncy Castle For Java before 1.74 is affected by an LDAP injection vu ...

suse-cvrf логотип

SUSE-SU-2023:2843-1

suse-cvrf
больше 2 лет назад

Security update for bouncycastle

EPSS

Процентиль: 60%
0.00396
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2