BDU:2025-09865

Опубликовано: 23 фев. 2021

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость кроссплатформенного программного обеспечения для защиты сетевых соединений Stunnel связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности

Вендор

Red Hat Inc.

Novell Inc.

ООО «Ред Софт»

АО «ИВК»

Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux

SUSE Linux Enterprise Server for SAP Applications

SUSE Enterprise Storage

SUSE Linux Enterprise High Performance Computing

Suse Linux Enterprise Server

SUSE Linux Enterprise Module for Server Applications

OpenSUSE Leap

SUSE CaaS Platform

SUSE Manager Proxy

SUSE Manager Retail Branch Server

SUSE Manager Server

РЕД ОС

Альт 8 СП

АЛЬТ СП 10

SUSE Liberty Linux

stunnel

Версия ПО

8 (Red Hat Enterprise Linux)

15 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

6 (SUSE Enterprise Storage)

15-ESPOS (SUSE Linux Enterprise High Performance Computing)

15-LTSS (SUSE Linux Enterprise High Performance Computing)

15-LTSS (Suse Linux Enterprise Server)

15 SP2 (SUSE Linux Enterprise Module for Server Applications)

15.2 (OpenSUSE Leap)

8.1 Extended Update Support (Red Hat Enterprise Linux)

4.0 (SUSE CaaS Platform)

8.2 Extended Update Support (Red Hat Enterprise Linux)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing)

4.0 (SUSE Manager Proxy)

4.0 (SUSE Manager Retail Branch Server)

4.0 (SUSE Manager Server)

15 SP3 (SUSE Linux Enterprise Module for Server Applications)

7.3 (РЕД ОС)

15 SP3 (SUSE Linux Enterprise High Performance Computing)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

4.2 (SUSE Manager Proxy)

4.2 (SUSE Manager Server)

7 (SUSE Enterprise Storage)

15 SP2 (Suse Linux Enterprise Server)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

4.1 (SUSE Manager Server)

4.1 (SUSE Manager Proxy)

4.1 (SUSE Manager Retail Branch Server)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

15 SP2 (SUSE Linux Enterprise High Performance Computing)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

4.2 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Proxy)

4.3 (SUSE Manager Server)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

15 SP4 (SUSE Linux Enterprise Module for Server Applications)

7.1 (SUSE Enterprise Storage)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Server Applications)

- (АЛЬТ СП 10)

8 (SUSE Liberty Linux)

до 5.57 (stunnel)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

АО «ИВК» Альт 8 СП -

АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/mtrojnar/stunnel/commit/ebad9ddc4efb2635f37174c9d800d06206f1edf9

Для РедОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-stunnel-cve-2021-20230/

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2021-20230

Для программных продуктов Novell Inc.:

https://www.suse.com/ko-kr/security/cve/CVE-2021-20230.html

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства:https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства:https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-20230
CVE

EPSS

Процентиль: 43%

0.00209

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2021-20230

CVSS3: 7.5

ubuntu

больше 4 лет назад

A flaw was found in stunnel before 5.57, where it improperly validates client certificates when it is configured to use both redirect and verifyChain options. This flaw allows an attacker with a certificate signed by a Certificate Authority, which is not the one accepted by the stunnel server, to access the tunneled service instead of being redirected to the address specified in the redirect option. The highest threat from this vulnerability is to confidentiality.

CVE-2021-20230

CVSS3: 7.5

redhat

почти 5 лет назад

CVE-2021-20230

CVSS3: 7.5

nvd

больше 4 лет назад

CVE-2021-20230

CVSS3: 7.5

debian

больше 4 лет назад

A flaw was found in stunnel before 5.57, where it improperly validates ...

openSUSE-SU-2021:0409-1

suse-cvrf

больше 4 лет назад

Security update for stunnel

EPSS

Процентиль: 43%

0.00209

Низкий

7.5 High

CVSS3

7.8 High

CVSS2