BDU:2022-01315
IBM Corp., АО "НППКТ", Hitachi, Ltd., ООО «Ред Софт», Canonical Ltd., Red Hat Inc., OpenSSL Software Red Hat Enterprise Linux, RTU500 series CMU, JBoss Enterprise Application Platform, Debian GNU/Linux
2022-03-15
Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL связана с выполнением цикла без достаточного ограничения количества его выполнения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующий меры: Использование средств обнаружения и предотвращения вторжения (IPS/IDS)
Информация производителей: Для OpenSSL: https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3118eb64934499d93db3230748a452351d1d9a65 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=a466912611aa6cbdf550cd10601390e587451246 https://www.openssl.org/news/openssl-1.1.1-notes.html
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-0778
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-0778
Для Ubuntu: https://ubuntu.com/security/notices/USN-5328-2 https://ubuntu.com/security/notices/USN-5328-1
Для программных продуктов Mitsubishi Electric Corporation: https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf
Для программных продуктов IBM Corp.: https://www.ibm.com/support/pages/node/6612587
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb10321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb11322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb12323
Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/
Для ОСОН Основа: Обновление программного обеспечения openssl до версии 1.1.1n-0+deb10u2
Для продуктов Hitachi Energy: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02
Компенсирующие меры: - использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей; - использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала; - исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет); - использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов; - использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2252
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: - обновить пакет openssl1.0 до 1.0.2u-1~deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 - обновить пакет openssl до 1.1.1d-2astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:4899?lang=ru