КиберосноваSGRC
BDU:2021-03037
Средний

BDU:2021-03037: Уязвимость процедуры AVX2 Montgomery библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

CVSS v35.9
CVSS v24.3
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2021-03037

Описание

Уязвимость процедуры AVX2 Montgomery библиотеки OpenSSL связана с недостатками защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью закрытого ключа DH1024

Что делать с BDU:2021-03037

Уязвимость среднего уровня (CVSS 5.9) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
5.9Средний
Пересчитать →
v2
4.3
Только просмотр
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:NAV:N/AC:M/Au:N/C:P/I:N/A:N

CWE — тип уязвимости

CWE-190
CWE-200

CVE — международный идентификатор

CVE-2017-3738
CWE-190
Целочисленное переполнение

Арифметическая операция приводит к значению за пределами типа. Может вызвать переполнение буфера или логические ошибки.

Как атакуют и что делать ▾

Сценарий атаки

Результат арифметической операции превышает максимум типа. INT_MAX + 1 = отрицательное число → неверный размер буфера → переполнение.

Последствия

Переполнение буфера, обход проверок, выделение неверного объёма памяти.

Рекомендации

Проверяйте результат перед операцией, используйте safe_math функции, компилируйте с -ftrapv.

Тактики и техники

Несанкционированный сбор информации

Уязвимое ПО (91)

ВендорНазваниеВерсияПлатформа
Oracle Corp.API Gateway11.1.2.4.0Не указана
Oracle Corp.Transportation Management6.2Не указана
Red Hat Inc.Red Hat Enterprise Linux7Не указана
Canonical Ltd.Ubuntu17.04Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux9Не указана
Canonical Ltd.Ubuntu17.10Не указана
Oracle Corp.Enterprise Manager Ops Center12.2.2Не указана
Oracle Corp.Enterprise Manager Ops Center12.3.3Не указана
Oracle Corp.JD Edwards EnterpriseOne Tools9.2Не указана
Oracle Corp.Tuxedo12.1.1.0Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.55Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.56Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.57Не указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Management8.4Не указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Management15.1Не указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Management15.2Не указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Management16.1Не указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Management16.2Не указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Management18.8Не указана
Oracle Corp.Communications WebRTC Session Controllerдо 7.2Не указана
Oracle Corp.Communications Application Session Controller3.7.1Не указана
Oracle Corp.Communications Application Session Controller3.8.0Не указана
Oracle Corp.Communications Network Charging and Control4.4.1.5.0Не указана
Oracle Corp.Communications Network Charging and Control5.0.0.1.0Не указана
Oracle Corp.Communications Network Charging and Control5.0.0.2.0Не указана
Oracle Corp.Communications Network Charging and Control5.0.1.0.0Не указана
Oracle Corp.Communications Network Charging and Control5.0.2.0.0Не указана
Oracle Corp.Agile Engineering Data Management6.1.3Не указана
Oracle Corp.Agile Engineering Data Management6.2.0Не указана
Oracle Corp.Agile Engineering Data Management6.2.1Не указана
Oracle Corp.Secure Global Desktop5.3Не указана
Oracle Corp.Secure Global Desktop5.4Не указана
Oracle Corp.Enterprise Manager Base Platform12.1.0.5Не указана
Oracle Corp.Endeca Server7.6.1Не указана
Oracle Corp.Endeca Server7.7.0Не указана
Node.js FoundationNode.js6Не указана
Node.js FoundationNode.js8Не указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Managementот 17.7 до 17.12 включительноНе указана
Oracle Corp.MySQL Connectorsдо 5.3.10 включительноНе указана
Oracle Corp.Communications EAGLE LNP Application Processor10.0Не указана
Oracle Corp.Communications EAGLE LNP Application Processor10.1Не указана
Oracle Corp.Communications EAGLE LNP Application Processor10.2Не указана
Oracle Corp.Communications Operations Monitor3.4Не указана
Oracle Corp.Communications Operations Monitor4.0Не указана
IBM Corp.Communications Session Border ControllerSCz7.4.0Не указана
IBM Corp.Communications Session Border ControllerSCz7.4.1Не указана
IBM Corp.Communications Session Border ControllerSCz8.0.0Не указана
IBM Corp.Communications Session Border ControllerSCz8.1.0Не указана
Oracle Corp.Communications Unified Session ManagerSCz7.3.5Не указана
Oracle Corp.Enterprise Communications BrokerPCz2.1Не указана

Показано 50 из 91

Среды функционирования (6)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux7Не указана
Canonical Ltd.Ubuntu17.04Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux9Не указана
Canonical Ltd.Ubuntu17.10Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux8Не указана
Canonical Ltd.Ubuntu16.04 ESMНе указана

Рекомендации по устранению

Использование рекомендаций: Для OpenSSL: https://www.openssl.org/news/secadv/20171207.txt https://www.openssl.org/news/secadv/20180327.txt Для Node.js: https://nodejs.org/en/blog/vulnerability/december-2017-security-releases/ Для Debian GNU/Linux: https://www.debian.org/security/2017/dsa-4065 https://www.debian.org/security/2018/dsa-4157 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2017-3738 Для Ubuntu: https://ubuntu.com/security/notices/USN-3512-1 Для программных продуктов Oracle Corp.: http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

Источники (1)

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 5.9

Уточните SLA под вашу среду

Базовый балл 5.9 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации17.3%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2017-12-06

Опубликована

2021-06-15

Обновлена

2021-06-15

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2017-3738 MITRE: CWE-190 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2022-06690
Средний
7.0

Уязвимость сервера приложений Apache Tomcat, связанная с ошибками синхронизации при использовании общего ресурса, позвол

BDU:2021-06115
Средний
7.5

Уязвимость сервера приложений Apache Tomcat, связанная с утечкой памяти, позволяющая нарушителю вызвать отказ в обслужив

BDU:2021-06299
Средний
8.3

Уязвимость компонента Advanced Networking Option системы управления базами данных Oracle Database Server, позволяющая на

BDU:2021-00872
Средний
3.7

Уязвимость функции GENERAL_NAME_cmp библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

BDU:2021-00711
Средний
6.1

Уязвимость каркаса для веб-сервисов Apache CXF, связанная с непринятием мер по защите структуры веб-страницы, позволяюща

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0