BDU:2023-04959
Novell Inc., ООО «Ред Софт», Camunda Services GmbH, Canonical Ltd., OpenSSL Software Foundation, Nod SUSE Manager Retail Branch Server, OpenSSL, harbor, SUSE Linux Enterprise High Performance Computing
2023-07-14
Уязвимость алгоритм шифрования AES-SIV библиотеки OpenSSL связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процесс аутентификации.
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - отключение/удаление неиспользуемых учетных записей пользователей; - минимизация пользовательских привилегий; - использование антивирусных средств защиты; - контроль действий пользователей.
Использование рекомендаций:
Для OpenSSL:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=00e2f5eea29994d19293ec4e8c8775ba73678598
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=6a83f0c958811f07e0d11dfc6b5a6a98edfd5bdc
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-2975
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-2975.html
Для Ubuntu: https://ubuntu.com/security/notices/USN-6450-1 https://ubuntu.com/security/CVE-2023-2975