КиберосноваSGRC
BDU:2020-00689
Высокий

BDU:2020-00689: Уязвимость компонента ASN.1 библиотеки Bouncy Castle Crypto, связанная с выделением неограниченной памяти, позволяющая нарушителю вызвать отказ в обслуживании

CVSS v37.5
CVSS v27.8
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2020-00689

Описание

Уязвимость компонента ASN.1 библиотеки Bouncy Castle Crypto связана с выделением неограниченной памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Что делать с BDU:2020-00689

Высокая уязвимость (CVSS 7.5) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
7.5Высокий
Пересчитать →
v2
7.8
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:HAV:N/AC:L/Au:N/C:N/I:N/A:C

CWE — тип уязвимости

CWE-770

CVE — международный идентификатор

CVE-2019-17359

Тактики и техники

Манипулирование ресурсами

Уязвимое ПО (22)

ВендорНазваниеВерсияПлатформа
Oracle Corp.Business Process Management Suite12.2.1.3.0Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.56Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.57Не указана
Oracle Corp.Managed File Transfer12.2.1.3.0Не указана
Oracle Corp.WebCenter Portal11.1.1.9.0Не указана
Oracle Corp.WebCenter Portal12.2.1.3.0Не указана
Oracle Corp.WebLogic Server12.2.1.3.0Не указана
Oracle Corp.Oracle Hospitality Guest Access4.2.0Не указана
Oracle Corp.Retail Xstore Point of Service18.0.1Не указана
Oracle Corp.WebLogic Server12.2.1.4.0Не указана
Legion of the Bouncy Castle Inc.Bouncy Castle1.63Не указана
Oracle Corp.Financial Services Analytical Applications Infrastructureот 8.0.6 до 8.0.9 включительноНе указана
Oracle Corp.Managed File Transfer12.2.1.4.0Не указана
Oracle Corp.WebCenter Portal12.2.1.4.0Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.58Не указана
Oracle Corp.Oracle FLEXCUBE Private Banking12.0.0Не указана
Oracle Corp.Oracle FLEXCUBE Private Banking12.1.0Не указана
Oracle Corp.Business Process Management Suite12.2.1.4.0Не указана
Oracle Corp.Oracle Communications Convergenceот 3.0.1.0 до 3.0.2.1 включительноНе указана
Oracle Corp.Oracle Communications Session Route Managerот 8.2.0 до 8.2.2 включительноНе указана
Oracle Corp.Communications Diameter Signaling Routerот 8.0.0.0 до 8.4.0.5 включительноНе указана
Oracle Corp.Oracle Data Integrator12.2.1.4.0Не указана

Рекомендации по устранению

Использование рекомендаций производителя: Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html Для Legion of the Bouncy Castle Inc.: https://www.bouncycastle.org/latest_releases.html

Источники (1)

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.5

Уточните SLA под вашу среду

Базовый балл 7.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации7.6%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2019-10-08

Опубликована

2020-02-24

Обновлена

2021-02-25

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2019-17359 MITRE: CWE-770 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2025-14523
Средний
5.9

Уязвимость компонентов TLS API и JSSE Provider средства криптографической защиты Bouncy Castle, позволяющая нарушителю р

BDU:2025-14524
Высокий
7.5

Уязвимость компонента Cryptography APIs средства криптографической защиты Bouncy Castle, позволяющая нарушителю раскрыть

BDU:2023-08233
Низкий
3.5

Уязвимость средства криптографической защиты Bouncy Castle, существующая из-за недостаточной проверки входных данных, по

BDU:2023-07205
Критический
9.8

Уязвимость адаптера JDBCAppender программы для журналирования Java-программ Log4j, позволяющая нарушителю выполнять прои

BDU:2023-05622
Высокий
7.5

Уязвимость декодера Bzip2Decoder сетевого программного средства Netty, позволяющая нарушителю вызвать отказ в обслуживан

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0