BDU:2024-11338

Сообщество свободного программного обеспечения, АО «ИВК», ООО «Ред Софт» АЛЬТ СП 10, crypto, РЕД ОС

НЕ ОЦЕНЕНО

Дата обнаружения

2024-12-11

Официальное описание

Уязвимость функции ServerConfig.PublicKeyCallback() библиотеки для языка программирования Go crypto связана с недостатками процедуры авторизации при обработке ключей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций: Для Go crypto: https://github.com/golang/crypto/commit/b4f1988a35dee11ec3e05d6bf3e90b695fbd8909 https://groups.google.com/g/golang-announce/c/-nPEi39gI4Q/m/cGVPJCqdAQAJ https://go-review.googlesource.com/c/crypto/+/635315

Для РедОС: https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-etcd-0312202502/?sphrase_id=1370646

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей