Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00707

Опубликовано: 16 янв. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость криптографической библиотеки транспортного уровня GnuTLS связана с различием времени ответа при обработке шифротекста RSA в сообщении ClientKeyExchange с корректным и некорректным добавочным заполнением PKCS#1. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
ООО «РусБИТех-Астра»
АО «ИВК»
АО «НТЦ ИТ РОСА»
Free Software Foundation, Inc.
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Astra Linux Special Edition
Альт 8 СП
ROSA Virtualization
РОСА ХРОМ
АЛЬТ СП 10
GnuTLS
ОСОН ОСнова Оnyx

Версия ПО

8.0 (Red Hat Enterprise Linux)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
9.0 (Red Hat Enterprise Linux)
- (АЛЬТ СП 10)
до 3.8.3 (GnuTLS)
до 2.10.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Программное средство защиты

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для GnuTLS:
https://gitlab.com/gnutls/gnutls/-/issues/1522
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-0553
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения gnutls28 до версии 3.7.1-5+deb11u5
Для ОС Astra Linux:
обновить пакет gnutls28 до 3.6.13-2ubuntu1.11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет gnutls28 до 3.6.13-2ubuntu1.11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2607
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2749

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 76%
0.01029
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20241211-10

CVSS3: 7.5
redos
6 месяцев назад

Уязвимость gnutls

ubuntu логотип

CVE-2024-0553

CVSS3: 7.5
ubuntu
больше 1 года назад

A vulnerability was found in GnuTLS. The response times to malformed ciphertexts in RSA-PSK ClientKeyExchange differ from the response times of ciphertexts with correct PKCS#1 v1.5 padding. This issue may allow a remote attacker to perform a timing side-channel attack in the RSA-PSK key exchange, potentially leading to the leakage of sensitive data. CVE-2024-0553 is designated as an incomplete resolution for CVE-2023-5981.

redhat логотип

CVE-2024-0553

CVSS3: 7.5
redhat
больше 1 года назад

A vulnerability was found in GnuTLS. The response times to malformed ciphertexts in RSA-PSK ClientKeyExchange differ from the response times of ciphertexts with correct PKCS#1 v1.5 padding. This issue may allow a remote attacker to perform a timing side-channel attack in the RSA-PSK key exchange, potentially leading to the leakage of sensitive data. CVE-2024-0553 is designated as an incomplete resolution for CVE-2023-5981.

nvd логотип

CVE-2024-0553

CVSS3: 7.5
nvd
больше 1 года назад

A vulnerability was found in GnuTLS. The response times to malformed ciphertexts in RSA-PSK ClientKeyExchange differ from the response times of ciphertexts with correct PKCS#1 v1.5 padding. This issue may allow a remote attacker to perform a timing side-channel attack in the RSA-PSK key exchange, potentially leading to the leakage of sensitive data. CVE-2024-0553 is designated as an incomplete resolution for CVE-2023-5981.

msrc логотип

CVE-2024-0553

CVSS3: 7.5
msrc
12 месяцев назад

Описание отсутствует

EPSS

Процентиль: 76%
0.01029
Низкий

7.5 High

CVSS3

7.8 High

CVSS2