КиберосноваSGRC
BDU:2022-01315
Высокий
Эксплойт

BDU:2022-01315: Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

CVSS v37.5
CVSS v27.8

Детали уязвимости BDU:2022-01315

Описание

Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL связана с выполнением цикла без достаточного ограничения количества его выполнения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Что делать с BDU:2022-01315

Высокая уязвимость (CVSS 7.5) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

⚠ Для этой уязвимости существует публичный эксплойт — риск активной эксплуатации повышен. Устраните в первую очередь.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
7.5Высокий
Пересчитать →
v2
7.8
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:HAV:N/AC:L/Au:N/C:N/I:N/A:C

CWE — тип уязвимости

CVE — международный идентификатор

CWE-835
Бесконечный цикл

Программа входит в бесконечный цикл, потребляя CPU. Приводит к отказу в обслуживании (DoS).

Как атакуют и что делать ▾

Сценарий атаки

Специально сформированный ввод вызывает бесконечный цикл в парсере или обработчике. Поток CPU занят навсегда.

Последствия

Отказ в обслуживании (DoS), исчерпание CPU.

Рекомендации

Устанавливайте максимальное число итераций, таймауты на обработку, watchdog-мониторинг.

Тактики и техники

Манипулирование структурами данных
Исчерпание ресурсов

Уязвимое ПО (45)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux664-bit
Red Hat Inc.Red Hat Enterprise Linux7IA-32
Сообщество свободного программного обеспеченияDebian GNU/Linux9Не указана
Canonical Ltd.Ubuntu18.04 LTSНе указана
Red Hat Inc.Red Hat Enterprise Linux8Не указана
Canonical Ltd.Ubuntu14.04 ESMНе указана
Red Hat Inc.Jboss Web Server5.0Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux10Не указана
Red Hat Inc.JBoss Core Services-Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition для «Эльбрус»8.1 «Ленинград»Не указана
Red Hat Inc.Jboss Web Server3Не указана
Canonical Ltd.Ubuntu20.04 LTSНе указана
Red Hat Inc.JBoss Enterprise Application Platform6Не указана
Canonical Ltd.Ubuntu16.04 ESMНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux11Не указана
Canonical Ltd.Ubuntu21.10Не указана
ООО «Ред Софт»РЕД ОС7.3Не указана
ФССП РоссииОС ТД АИС ФССП РоссииИК6Не указана
OpenSSL Software FoundationOpenSSLот 3.0.0 до 3.0.2Не указана
OpenSSL Software FoundationOpenSSLот 1.1.1 до 1.1.1nНе указана
OpenSSL Software FoundationOpenSSLот 1.0.2 до 1.0.2zdНе указана
Red Hat Inc.Red Hat Advanced Cluster Management for Kubernetes2Не указана
АО «ИВК»Альт 8 СП-Не указана
ООО "Открытая мобильная платформа"ОС Аврорадо 4.0.2Aquarius CMP NS220
ООО "Открытая мобильная платформа"ОС Аврорадо 4.0.2Byterg MVK-2020
ООО "Открытая мобильная платформа"ОС Аврорадо 4.0.2F+ Life Tab Plus
Mitsubishi Electric CorporationGT SoftGOT2000до 1.280SНе указана
Mitsubishi Electric CorporationRD81OPC96до 08 включительноНе указана
Mitsubishi Electric CorporationNZ2MHG-TSNT8F2до 03 включительноНе указана
Mitsubishi Electric CorporationNZ2MHG-TSNT4до 03 включительноНе указана
IBM Corp.IBM Cloud Pak Systemдо 2.3.3.5Не указана
АО «НППКТ»ОСОН ОСнова Оnyxдо 2.5Не указана
АО «НТЦ ИТ РОСА»ROSA Virtualization2.1Не указана
Hitachi, Ltd.RTU500 series CMUот 13.3.1 до 13.3.3 включительноНе указана
Hitachi, Ltd.RTU500 series CMUот 12.0.1 до 12.0.14 включительноНе указана
Hitachi, Ltd.RTU500 series CMUот 12.2.1 до 12.2.11 включительноНе указана
Hitachi, Ltd.RTU500 series CMUот 12.4.1 до 12.4.11 включительноНе указана
Hitachi, Ltd.RTU500 series CMUот 12.6.1 до 12.6.8 включительноНе указана
Hitachi, Ltd.RTU500 series CMUот 12.7.1 до 12.7.5 включительноНе указана
Hitachi, Ltd.RTU500 series CMUот 13.2.1 до 13.2.5 включительноНе указана
Hitachi, Ltd.RTU500 series CMU13.4.1Не указана
АО «НТЦ ИТ РОСА»РОСА ХРОМ12.4Не указана
АО «Концерн ВНИИНС»ОС ОН «Стрелец»до 16.01.2023Не указана
АО «НТЦ ИТ РОСА»ROSA Virtualization 3.03.0Не указана
ООО «НЦПР»МСВСфера9.5Не указана

Среды функционирования (25)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux664-bit
Red Hat Inc.Red Hat Enterprise Linux7IA-32
Red Hat Inc.Red Hat Enterprise Linux6Не указана
Red Hat Inc.Red Hat Enterprise Linux7Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux9Не указана
Canonical Ltd.Ubuntu18.04 LTSНе указана
Red Hat Inc.Red Hat Enterprise Linux8Не указана
Canonical Ltd.Ubuntu14.04 ESMНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux10Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition для «Эльбрус»8.1 «Ленинград»Не указана
Canonical Ltd.Ubuntu20.04 LTSНе указана
Canonical Ltd.Ubuntu16.04 ESMНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux11Не указана
Canonical Ltd.Ubuntu21.10Не указана
ООО «Ред Софт»РЕД ОС7.3Не указана
ФССП РоссииОС ТД АИС ФССП РоссииИК6Не указана
АО «ИВК»Альт 8 СП-Не указана
ООО "Открытая мобильная платформа"ОС Аврорадо 4.0.2Aquarius CMP NS220
ООО "Открытая мобильная платформа"ОС Аврорадо 4.0.2Byterg MVK-2020
ООО "Открытая мобильная платформа"ОС Аврорадо 4.0.2F+ Life Tab Plus
АО «НТЦ ИТ РОСА»ROSA Virtualization2.1Не указана
АО «НТЦ ИТ РОСА»РОСА ХРОМ12.4Не указана
АО «Концерн ВНИИНС»ОС ОН «Стрелец»до 16.01.2023Не указана
АО «НТЦ ИТ РОСА»ROSA Virtualization 3.03.0Не указана
ООО «НЦПР»МСВСфера9.5Не указана

Рекомендации по устранению

Установка обновлений из доверенных источников В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующий меры: Использование средств обнаружения и предотвращения вторжения (IPS/IDS) Информация производителей: Для OpenSSL: https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=3118eb64934499d93db3230748a452351d1d9a65 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=a466912611aa6cbdf550cd10601390e587451246 https://www.openssl.org/news/openssl-1.1.1-notes.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-0778 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-0778 Для Ubuntu: https://ubuntu.com/security/notices/USN-5328-2 https://ubuntu.com/security/notices/USN-5328-1 Для программных продуктов Mitsubishi Electric Corporation: https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-009_en.pdf Для программных продуктов IBM Corp.: https://www.ibm.com/support/pages/node/6612587 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb10321 Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb11322 Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb12323 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения openssl до версии 1.1.1n-0+deb10u2 Для продуктов Hitachi Energy: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02 Компенсирующие меры: - использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей; - использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала; - исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет); - использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов; - использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2252 Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211 Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: - обновить пакет openssl1.0 до 1.0.2u-1~deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 - обновить пакет openssl до 1.1.1d-2astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 Для ОС ОН «Стрелец»: Обновление программного обеспечения openssl1.0 до версии 1.0.2u-1~deb9u7 Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898 Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897 Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:4899?lang=ru

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.5

Уточните SLA под вашу среду

Базовый балл 7.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Немедленно устранить

Эксплуатируется или вероятность крайне высока. Приоритет №1 — устраните в первую очередь.

EPSS — вероятность эксплуатации70.6%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2022-03-15

Опубликована

2022-03-16

Обновлена

2025-11-19

Эксплойт

Существует

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0