Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00851

Опубликовано: 07 фев. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции EVP_PKEY_public_check() библиотеки OpenSSL связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Novell Inc.
Canonical Ltd.
Red Hat Inc.
OpenSSL Software Foundation
Project Harbor

Наименование ПО

Debian GNU/Linux
openSUSE Tumbleweed
Ubuntu
OpenSUSE Leap
Suse Linux Enterprise Server
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
Red Hat Enterprise Linux
SUSE Manager Retail Branch Server
SUSE Manager Proxy
SUSE Manager Server
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Module for Basesystem
OpenSSL
SUSE Liberty Linux
harbor

Версия ПО

10 (Debian GNU/Linux)
- (openSUSE Tumbleweed)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
15.4 (OpenSUSE Leap)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
15 SP4 (SUSE Linux Enterprise Module for Basesystem)
22.10 (Ubuntu)
9.0 Extended Update Support (Red Hat Enterprise Linux)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Basesystem)
от 3.0.0 до 3.0.7 включительно (OpenSSL)
18.04 ESM (Ubuntu)
9 (SUSE Liberty Linux)
2.7.0 (harbor)

Тип ПО

Операционная система
Сетевое средство
Прикладное ПО информационных систем
Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Canonical Ltd. Ubuntu 22.10
Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
Canonical Ltd. Ubuntu 18.04 ESM
Novell Inc. SUSE Liberty Linux 9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20230207.txt
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-0217
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-0217
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-0217.html
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5844-1
Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 63%
0.00449
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-0217

CVSS3: 7.5
ubuntu
больше 2 лет назад

An invalid pointer dereference on read can be triggered when an application tries to check a malformed DSA public key by the EVP_PKEY_public_check() function. This will most likely lead to an application crash. This function can be called on public keys supplied from untrusted sources which could allow an attacker to cause a denial of service attack. The TLS implementation in OpenSSL does not call this function but applications might call the function if there are additional security requirements imposed by standards such as FIPS 140-3.

redhat логотип

CVE-2023-0217

CVSS3: 7.5
redhat
больше 2 лет назад

An invalid pointer dereference on read can be triggered when an application tries to check a malformed DSA public key by the EVP_PKEY_public_check() function. This will most likely lead to an application crash. This function can be called on public keys supplied from untrusted sources which could allow an attacker to cause a denial of service attack. The TLS implementation in OpenSSL does not call this function but applications might call the function if there are additional security requirements imposed by standards such as FIPS 140-3.

nvd логотип

CVE-2023-0217

CVSS3: 7.5
nvd
больше 2 лет назад

An invalid pointer dereference on read can be triggered when an application tries to check a malformed DSA public key by the EVP_PKEY_public_check() function. This will most likely lead to an application crash. This function can be called on public keys supplied from untrusted sources which could allow an attacker to cause a denial of service attack. The TLS implementation in OpenSSL does not call this function but applications might call the function if there are additional security requirements imposed by standards such as FIPS 140-3.

debian логотип

CVE-2023-0217

CVSS3: 7.5
debian
больше 2 лет назад

An invalid pointer dereference on read can be triggered when an applic ...

github логотип

GHSA-vxrh-cpg7-8vjr

CVSS3: 7.5
github
больше 2 лет назад

openssl-src subject to NULL dereference validating DSA public key

EPSS

Процентиль: 63%
0.00449
Низкий

7.5 High

CVSS3

7.8 High

CVSS2