BDU:2024-06735
ООО «Ред Софт», Red Hat Inc., OpenSSL Software Foundation, Сообщество свободного программного обеспе Red Hat Enterprise Linux, OpenSSL, Astra Linux Special Edition, OpenShift Container Platform, Debian
2024-09-03
Уязвимость библиотеки OpenSSL связана с прочтением неверного адреса в памяти при сравнении имен субъекта `otherName` сертификата X.509. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для OpenSSL: https://openssl-library.org/news/secadv/20240903.txt https://github.com/openssl/openssl/commit/621f3729831b05ee828a3203eddb621d014ff2b2 https://github.com/openssl/openssl/commit/06d1dc3fa96a2ba5a3e22735a033012aadc9f0d6 https://github.com/openssl/openssl/commit/7dfcee2cd2a63b2c64b9b4b0850be64cb695b0a0
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-6119
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2024-6119
Компенсирующие меры: - запуск приложения в изолированных окружениях с минимальными правами доступа; - применение контейнеризации или других форм изоляции процессов; - настройка белых списков доверенных сертификатов, исключив использование самоподписанных или недоверенных сертификатов, что может снизить риск использования уязвимых сертификатов в цепочке атак; - использование средств обнаружения и предотвращения вторжений (IDS/IPS).
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux: обновить пакет openssl до 3.4.0-2-astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18