BDU:2023-00041
ООО «Ред Софт», ARM Limited Mbed TLS, РЕД ОС
2023-01-10
Уязвимость реализации протоколов TLS и SSL программного обеспечения Mbed TLS связана с возможностью записи за пределами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перезаписать данные в буфере памяти и восстановить закрытый RSA-ключ
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - отключение MBEDTLS_SSL_DTLS_CONNECTION_ID; - задание значений таким образом, чтобы MBEDTLS_SSL_CID_IN_LEN_MAX > 2*MBEDTLS_SSL_CID_OUT_LEN_MAX; - использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IPS/IDS) для фильтрации и контроля запросов, которые могут позволить нарушителю эксплуатировать уязвимость; - сегментирование сети для изоляции критически важных приложений от внешних сетей (в т.ч. Интернет).
Использование рекомендаций: https://github.com/Mbed-TLS/mbedtls/releases/tag/v2.28.2 https://github.com/Mbed-TLS/mbedtls/releases/tag/v3.3.0 https://mbed-tls.readthedocs.io/en/latest/tech-updates/security-advisories/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/