Описание
Уязвимость функции ServerConfig.PublicKeyCallback() библиотеки для языка программирования Go crypto связана с недостатками процедуры авторизации при обработке ключей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности
Вендор
ООО «Ред Софт»
АО «ИВК»
Сообщество свободного программного обеспечения
Наименование ПО
РЕД ОС
АЛЬТ СП 10
crypto
Версия ПО
7.3 (РЕД ОС)
- (АЛЬТ СП 10)
до 0.31.0 (crypto)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» АЛЬТ СП 10 -
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,1)
Возможные меры по устранению уязвимости
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Go crypto:
https://github.com/golang/crypto/commit/b4f1988a35dee11ec3e05d6bf3e90b695fbd8909
https://groups.google.com/g/golang-announce/c/-nPEi39gI4Q/m/cGVPJCqdAQAJ
https://go-review.googlesource.com/c/crypto/+/635315
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-etcd-0312202502/?sphrase_id=1370646
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 97%
0.41947
Средний
9.1 Critical
CVSS3
9.4 Critical
CVSS2
EPSS
Процентиль: 97%
0.41947
Средний
9.1 Critical
CVSS3
9.4 Critical
CVSS2