ROS-20220524-01

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость криптографической библиотеки OpenSSL связана с неправильной проверкой ввода в скрипте c_rehash. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды ОС с привилегиями скрипта

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость криптографической библиотеки OpenSSL связана с ошибкой при проверке ответа OCSP в функции OCSP_basic_verify. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, использовать флаг (не по умолчанию) OCSP_NOCHECKS и получить положительный ответ даже в том случае, если сертификат подписи ответа не прошел проверку

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость криптографической библиотеки OpenSSL связана с неправильным использованием данных AAD в качестве ключа MAC, что делает ключ MAC тривиально предсказуемым. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку «человек посередине» (MitM), чтобы изменить данные, отправляемые с одной конечной точки получателю OpenSSL 3.0, чтобы измененные данные по-прежнему проходили проверку целостности MAC

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость криптографической библиотеки OpenSSL связана с невозможностью повторного использования памяти в функции OPENSSL_LH_flush(), которая очищает хэш-таблицу при декодировании сертификатов или ключей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, периодически декодировать сертификаты или ключи, которые будут неограниченно увеличивать объем используемой памяти, и процесс может быть остановлен операционной системой, что приведет к отказу в обслуживании