КиберосноваSGRC
BDU:2019-00765
Средний

BDU:2019-00765: Уязвимость программного обеспечения криптографической библиотеки OpenSSL, связанная с некорректной работой механизма «error state», позволяющая нарушителю передавать незашифрованные конфиденциальные данные по сети

CVSS v35.9
CVSS v25.4

Детали уязвимости BDU:2019-00765

Описание

Уязвимость программного обеспечения криптографической библиотеки OpenSSL связана с некорректной работой механизма «error state», в случае если функции SSL_read() или SSL_write() вызываются напрямую приложением. Эксплуатация уязвимости может позволить нарушителю передавать незашифрованные конфиденциальные данные по сети на уровне SSL/TLS

Что делать с BDU:2019-00765

Уязвимость среднего уровня (CVSS 5.9) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
5.9Средний
Пересчитать →
v2
5.4
Только просмотр
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:NAV:N/AC:H/Au:N/C:C/I:N/A:N

CWE — тип уязвимости

CVE — международный идентификатор

Тактики и техники

Подмена при взаимодействии

Уязвимое ПО (23)

ВендорНазваниеВерсияПлатформа
OpenSSL Software FoundationOpenSSL1.0.2Не указана
OpenSSL Software FoundationOpenSSL1.1.0Не указана
Siemens AGMindConnect IoT2040до 03.01Не указана
Siemens AGSIMATIC ET 200SP Open Controller CPU 1515SP PCот 2.0 до 2.1.6Не указана
Siemens AGMindConnect Nano (IPC227D)до 03.01Не указана
Siemens AGSIMATIC HMI WinCC Flexibleдо 15.1Не указана
Siemens AGSIMATIC IPC DiagMonitorдо 5.0.3Не указана
Siemens AGSIMATIC WinCC OAот 3.14 до 3.14-P021Не указана
Siemens AGSIMATIC WinCC OAот 3.15 до 3.15-P014Не указана
Siemens AGSIMATIC WinCC OAот 3.16 до 3.16-P002Не указана
Siemens AGSIMATIC WinCC (TIA Portal)от 13 до 13 SP2 Update 2Не указана
Siemens AGSIMATIC WinCC (TIA Portal)от 15 до 15 Update 2Не указана
Siemens AGSIMATIC S7-1200до 4.2.3Не указана
Siemens AGSIMATIC S7-1500до 2.5.2Не указана
Siemens AGSIMATIC S7-1500 Software Controllerот 2.0 до 2.6Не указана
Siemens AGSIMATIC STEP 7 (TIA Portal)от 13 до 13 SP2 Update 2Не указана
Siemens AGSIMATIC STEP 7 (TIA Portal)от 14Не указана
Siemens AGSIMATIC STEP 7 (TIA Portal)от 15 до 15 Update 2Не указана
Siemens AGSINUMERIK Integrate Operate Clientдо 2.0.11 включительноНе указана
Siemens AGSINUMERIK Integrate Operate Clientдо 3.0.11 включительноНе указана
Siemens AGSIMATIC IPC DiagBaseдо 2.1.1.0Не указана
Siemens AGSIMATIC WinCC (TIA Portal)до 14 SP1 Update 6Не указана
Siemens AGSINUMERIK Integrate Access MyMachineдо 4.1.7 включительноНе указана

Рекомендации по устранению

Обновление программного обеспечения: Для MindConnect IoT2040 и MindConnect Nano (IPC227D) до V03.01: Обновление через интерфейс Mindsphere Для SIMATIC ET 200SP Open Controller CPU 1515SP PC до V2.1.6: https://support.industry.siemens.com/cs/us/en/view/109759122 Для SIMATIC HMI WinCC Flexible до V15.1: https://support.industry.siemens.com/cs/us/en/view/109758794 Для SIMATIC IPC DiagMonitor до V5.0.3: Для обновления необходимо связаться со службой поддержки Для SIMATIC S7-1200 до V4.2.3: https://support.industry.siemens.com/cs/us/en/view/109741461 Для SIMATIC S7-1500 до V2.5.2: https://support.industry.siemens.com/cs/ww/en/view/109478459 Для SIMATIC S7-1500 Software Controller до V2.6: https://support.industry.siemens.com/cs/us/en/view/109478528 Для SIMATIC STEP 7 (TIA Portal) V13 до V13 SP2 Update 2: https://support.industry.siemens.com/cs/ww/en/view/109759753 Для SIMATIC STEP 7 (TIA Portal) V15 до V15 Update 2: https://support.industry.siemens.com/cs/ww/en/view/109755826 Для SIMATIC WinCC (TIA Portal) V13 до V13 SP2 Update 2: https://support.industry.siemens.com/cs/ww/en/view/109759753 Для SIMATIC WinCC (TIA Portal) V15 до V15 Update 2: https://support.industry.siemens.com/cs/ww/en/view/109755826 Для SIMATIC WinCC OA V3.14 до V3.14-P021: https://portal.etm.at/index.php?option=com_content&view=category&id=67&layout=blog&Itemid=80 Для SIMATIC WinCC OA V3.15 до V3.15-P014: https://portal.etm.at/index.php?option=com_content&view=category&id=68&layout=blog&Itemid=80 Для SIMATIC WinCC OA V3.16 до V3.16-P002: https://portal.etm.at/index.php?option=com_content&view=category&id=69&layout=blog&Itemid=80 Для SINUMERIK Integrate Access MyMachine до V4.1.8 и SINUMERIK Integrate Operate Client до V2.0.12 / 3.0.12: https://w3.siemens.com/aspa_app Конпенсирующие меры: Для S7-1200: Ограничение доступа к веб-серверу на конкретном порту Ethernet/PROFINET port/interface ( настройка находится General / Web server access ) Для остальных затронутых продуктов: Ограничение доступа к сети с помощью соотвествующих механизмов (например брандмауэра)

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 5.9

Уточните SLA под вашу среду

Базовый балл 5.9 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Немедленно устранить

Эксплуатируется или вероятность крайне высока. Приоритет №1 — устраните в первую очередь.

EPSS — вероятность эксплуатации78.7%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2018-08-07

Опубликована

2019-02-26

Обновлена

2021-03-23

Эксплойт

Данные уточняются

Исправление

Информация об устранении отсутствует

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0