BDU:2025-01602
ООО «Юбитех», ООО «Ред Софт», OpenSSL Software Foundation, ООО «НЦПР», ООО «РусБИТех-Астра» OpenSSL, UBLinux, Astra Linux Special Edition, РЕД ОС, МСВСфера
2025-02-11
Уязвимость режима SSL_VERIFY_PEER криптографической библиотеки OpenSSL связана с отсутствием механизма уведомления пользователя об установлении сеанса связи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек-посередине» в ходе соединения TLS/DTLS
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование функции SSL_get_verify_result() для контроля результата аутентификации при установлении сеанса связи для обнаружения ошибок работы программного средства; - использование средств анализа сетевого трафика для отслеживания несанкционированных подключений к сеансу связи; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя: https://openssl-library.org/news/secadv/20250211.txt
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-openssl3-cve-2024-12797/?sphrase_id=756712
Для UBLinux: https://security.ublinux.ru/CVE-2024-12797
Для ОС Astra Linux: обновить пакет openssl до 3.4.0-2-astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:1330?lang=ru