BDU:2023-07001

АО "НППКТ", Free Software Foundation, Inc., ООО «Ред Софт», Red Hat Inc., АО «ИВК», NetApp Inc., Соо Red Hat Enterprise Linux, ONTAP Select Deploy, Fedora, OnCommand Workflow Automation, Альт 8 СП, Net

НЕ ОЦЕНЕНО

Дата обнаружения

2023-02-15

Официальное описание

Уязвимость криптографической библиотеки транспортного уровня GnuTLS связана с различием времени ответа при обработке шифротекста RSA в сообщении ClientKeyExchange с корректным и некорректным добавочным заполнением PKCS#1. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, восстановить ключ для расшифровки сообщений путём отправки большого количества специально сформированных сообщений

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению; - использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя: Для GnuTLS: https://gitlab.com/gnutls/gnutls/-/issues/1050

Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-0361

Для Debian/GNU Linux: https://lists.debian.org/debian-lts-announce/2023/02/msg00015.html https://security-tracker.debian.org/tracker/CVE-2023-0361

Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UFIA3X4IZ3CW7SRQ2UHNHNPMRIAWF2FI/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WS4KVDOG6QTALWHC2QE4Y7VPDRMLTRWQ/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Z634YBXAJ5VLDI62IOPBVP5K6YFHAWCY/

Для Альт 8 СП: https://cve.basealt.ru/tag/cve-2023-0361.html

Для NetApp: https://security.netapp.com/advisory/ntap-20230725-0005/ https://security.netapp.com/advisory/ntap-20230324-0005/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения gnutls28 до версии 3.7.1-5+deb11u3

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux Special Edition 1.7: обновить пакет gnutls28 до 3.6.7-4+deb10u10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей