КиберосноваSGRC
BDU:2023-00665
Высокий
Эксплойт

BDU:2023-00665: Уязвимость функции GENERAL_NAME_cmp библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

CVSS v37.4
CVSS v27.1
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2023-00665

Описание

Уязвимость функции GENERAL_NAME_cmp библиотеки OpenSSL связана с недостатком механизма преобразования типов данных при обработке адресов x400. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Что делать с BDU:2023-00665

Высокая уязвимость (CVSS 7.4) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

⚠ Для этой уязвимости существует публичный эксплойт — риск активной эксплуатации повышен. Устраните в первую очередь.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
7.4Высокий
Пересчитать →
v2
7.1
Только просмотр
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:HAV:N/AC:H/Au:N/C:C/I:N/A:C

CWE — тип уязвимости

CWE-704

CVE — международный идентификатор

CVE-2023-0286

Тактики и техники

Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных
Манипулирование структурами данных

Уязвимое ПО (83)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux7Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.6 «Смоленск»Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications12 SP4Не указана
Red Hat Inc.Red Hat Enterprise Linux8Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP1Не указана
Novell Inc.Suse Linux Enterprise Server12 SP5Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications12 SP5Не указана
Novell Inc.SUSE Linux Enterprise Software Development Kit12 SP5Не указана
Red Hat Inc.Jboss Web Server5.0Не указана
Red Hat Inc.JBoss Core Services-Не указана
Novell Inc.SUSE OpenStack Cloud9Не указана
Novell Inc.SUSE OpenStack Cloud Crowbar9Не указана
Novell Inc.Suse Linux Enterprise Server12 SP4-ESPOSНе указана
Novell Inc.SUSE CaaS Platform4.0Не указана
Novell Inc.Suse Linux Enterprise Server12 SP4-LTSSНе указана
Red Hat Inc.Red Hat Enterprise Linux6 Extended Lifecycle SupportНе указана
Novell Inc.Suse Linux Enterprise Server15 SP1-LTSSНе указана
Novell Inc.SUSE Linux Enterprise High Performance Computing15 SP1-LTSSНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux11Не указана
Red Hat Inc.Red Hat Enterprise Linux8.1 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux8.4 Extended Update SupportНе указана
ООО «Ред Софт»РЕД ОС7.3Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.7Не указана
Novell Inc.OpenSUSE Leap15.4Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP3Не указана
Novell Inc.SUSE Manager Proxy4.2Не указана
Novell Inc.SUSE Manager Server4.2Не указана
Novell Inc.SUSE Enterprise Storage7Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP2Не указана
Novell Inc.SUSE Linux Enterprise High Performance Computing15 SP2-LTSSНе указана
АО «ИВК»Альт 8 СП-Не указана
Novell Inc.Suse Linux Enterprise Server15 SP4Не указана
Novell Inc.Suse Linux Enterprise Desktop15 SP4Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP4Не указана
Novell Inc.SUSE Manager Retail Branch Server4.2Не указана
Red Hat Inc.Red Hat Enterprise Linux9Не указана
Novell Inc.Suse Linux Enterprise Server15 SP2-LTSSНе указана
Novell Inc.SUSE Manager Retail Branch Server4.3Не указана
Novell Inc.SUSE Manager Proxy4.3Не указана
Novell Inc.SUSE Manager Server4.3Не указана
Novell Inc.SUSE Linux Enterprise High Performance Computing15 SP4Не указана
Novell Inc.openSUSE Leap Micro5.2Не указана
Novell Inc.SUSE Enterprise Storage7.1Не указана
Novell Inc.SUSE Linux Enterprise Module for Basesystem15 SP4Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition4.7ARM
Red Hat Inc.Red Hat Enterprise Linux8.2 Telecommunications Update ServiceНе указана
Red Hat Inc.Red Hat Enterprise Linux8.2 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux8.6 Extended Update SupportНе указана
Novell Inc.openSUSE Leap Micro5.3Не указана
Red Hat Inc.Red Hat Enterprise Linux9.0 Extended Update SupportНе указана

Показано 50 из 83

Среды функционирования (48)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux7Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.6 «Смоленск»Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications12 SP4Не указана
Red Hat Inc.Red Hat Enterprise Linux8Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP1Не указана
Novell Inc.Suse Linux Enterprise Server12 SP5Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications12 SP5Не указана
Novell Inc.Suse Linux Enterprise Server12 SP4-ESPOSНе указана
Novell Inc.Suse Linux Enterprise Server12 SP4-LTSSНе указана
Red Hat Inc.Red Hat Enterprise Linux6 Extended Lifecycle SupportНе указана
Novell Inc.Suse Linux Enterprise Server15 SP1-LTSSНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux11Не указана
Red Hat Inc.Red Hat Enterprise Linux8.1 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux8.4 Extended Update SupportНе указана
ООО «Ред Софт»РЕД ОС7.3Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.7Не указана
Novell Inc.OpenSUSE Leap15.4Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP3Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP2Не указана
АО «ИВК»Альт 8 СП-Не указана
Novell Inc.Suse Linux Enterprise Server15 SP4Не указана
Novell Inc.Suse Linux Enterprise Desktop15 SP4Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP4Не указана
Red Hat Inc.Red Hat Enterprise Linux9Не указана
Novell Inc.Suse Linux Enterprise Server15 SP2-LTSSНе указана
Novell Inc.openSUSE Leap Micro5.2Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition4.7ARM
Red Hat Inc.Red Hat Enterprise Linux8.2 Telecommunications Update ServiceНе указана
Red Hat Inc.Red Hat Enterprise Linux8.2 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux8.6 Extended Update SupportНе указана

Рекомендации по устранению

Использование рекомендаций: Для OpenSSL: https://www.openssl.org/news/secadv/20230207.txt https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=2f7530077e0ef79d98718138716bc51ca0cad658 https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=2c6c9d439b484e1ba9830d8454a34fa4f80fdfe9 Для Debian: https://security-tracker.debian.org/tracker/CVE-2023-0286 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-0286 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-0286.html Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2152 Для Zimbra Collaboration Suite: https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories https://wiki.zimbra.com/wiki/Security_Center Для продуктов Hitachi Energy: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02 Компенсирующие меры: - использование средств межсетевого экранирования с целью ограничения доступа систем управления процессами от других сетей; - использование физических средств защиты от получения доступа к системам управления неуполномоченного персонала; - исключение доступа систем управления технологическим процессом к общедоступных сетям (Интернет); - использование средств антивирусной защиты с целью проверки компьютеров и съемных носителей на наличие вирусов; - использование рекомендуемых методов обеспечения безопасности и конфигурации межсетевых экранов; - мониторинг действий пользователей; - запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе; - применение систем обнаружения и предотвращения вторжений. Для ОСОН ОСнова Оnyx: Обновление программного обеспечения openssl до версии 1.1.1n-0+deb11u5 Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2211 Для Astra Linux 1.6 «Смоленск»: обновить пакет openssl до 1.1.1n-0+deb11u4-deb11u5-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16 Для программных продуктов Oracle Corp.: Обновление до версии 21.2.23.0.0 Для ОС Аврора: https://cve.omp.ru/bb25402 Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2898 Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2897 Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1 Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:7937?lang=ru

Источники (1)

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.4

Уточните SLA под вашу среду

Базовый балл 7.4 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Немедленно устранить

Эксплуатируется или вероятность крайне высока. Приоритет №1 — устраните в первую очередь.

EPSS — вероятность эксплуатации88.5%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2023-02-07

Опубликована

2023-02-10

Обновлена

2025-11-19

Эксплойт

Существует

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2023-0286 MITRE: CWE-704 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2026-02403
Средний
7.4

Уязвимость сервера telnetd пакета сетевых программ inetutils, позволяющая нарушителю повысить свои привилегии до уровня

BDU:2026-01726
Средний
4.3

Уязвимость функции обработки типов данных oidvector системы управления базами данных PostgreSQL, позволяющая нарушителю

BDU:2026-01727
Высокий
8.8

Уязвимость функции оценки избирательности расширения Intarray системы управления базами данных PostgreSQL, позволяющая н

BDU:2026-01723
Высокий
8.8

Уязвимость системы управления базами данных PostgreSQL, связанная с неверным индексированием массива, позволяющая наруши

BDU:2026-01722
Высокий
8.8

Уязвимость компонента pgcrypto системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольны

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0