Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07764

Опубликовано: 10 мая 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость криптографической библиотеки C++ Botan связана с асимметричным потреблением ресурсов в результате чрезмерного количества имен в поле subjectAlternativeName при обработке сертификатов X.509. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»

Наименование ПО

Debian GNU/Linux
РЕД ОС
botan

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 2.19.5 (botan)
до 3.5.0 (botan)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для Botan:
https://github.com/randombit/botan/commit/21dccc8fef18c165ba3301d850ac61521f85637e
https://github.com/randombit/botan/commit/39535f13c322f56aa3da2f44b2b6abb8619a82ac
https://github.com/randombit/botan/commit/477822a2d10f02d8ba46c9d8a5132f25843f5cc1
https://github.com/randombit/botan/commit/7606d70d3a2ac7114476ec2651ca0243c4536fdf
https://github.com/randombit/botan/commit/c3264821b9f6286ee4e6e3e06826f6b7177e6d41
https://github.com/randombit/botan/commit/ff704b12e6fa351aaedd07bffdc91722e84586b8
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-34702

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 65%
0.00487
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-34702

CVSS3: 5.3
ubuntu
около 1 года назад

Botan is a C++ cryptography library. X.509 certificates can identify elliptic curves using either an object identifier or using explicit encoding of the parameters. Prior to 3.5.0 and 2.19.5, checking name constraints in X.509 certificates is quadratic in the number of names and name constraints. An attacker who presented a certificate chain which contained a very large number of names in the SubjectAlternativeName, signed by a CA certificate which contained a large number of name constraints, could cause a denial of service. The problem has been addressed in Botan 3.5.0 and a partial backport has also been applied and is included in Botan 2.19.5.

nvd логотип

CVE-2024-34702

CVSS3: 5.3
nvd
около 1 года назад

Botan is a C++ cryptography library. X.509 certificates can identify elliptic curves using either an object identifier or using explicit encoding of the parameters. Prior to 3.5.0 and 2.19.5, checking name constraints in X.509 certificates is quadratic in the number of names and name constraints. An attacker who presented a certificate chain which contained a very large number of names in the SubjectAlternativeName, signed by a CA certificate which contained a large number of name constraints, could cause a denial of service. The problem has been addressed in Botan 3.5.0 and a partial backport has also been applied and is included in Botan 2.19.5.

debian логотип

CVE-2024-34702

CVSS3: 5.3
debian
около 1 года назад

Botan is a C++ cryptography library. X.509 certificates can identify e ...

redos логотип

ROS-20241001-13

CVSS3: 5.3
redos
12 месяцев назад

Множественные уязвимости botan2

suse-cvrf логотип

openSUSE-SU-2024:0201-1

suse-cvrf
около 1 года назад

Security update for Botan

EPSS

Процентиль: 65%
0.00487
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2