BDU:2024-03158

АО "НППКТ", Сообщество свободного программного обеспечения, ООО «Ред Софт» Browserify-sign, РЕД ОС, ОСОН ОСнова Оnyx

НЕ ОЦЕНЕНО

Дата обнаружения

2023-10-26

Официальное описание

Уязвимость функции dsaVerify() пакета для дублирования криптографического функциональности Browserify-sign связана с неправильной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создавать подписи, которые могут быть успешно проверены любым открытым ключом, что приводит к атаке подделки подписи

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Для Browserify-sign: https://github.com/browserify/browserify-sign/commit/85994cd6348b50f2fd1b73c54e20881416f44a30 https://github.com/browserify/browserify-sign/security/advisories/GHSA-x9w5-v3q2-3rhw

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения node-browserify-sign до версии 4.0.4-2+deb10u1

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей