Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
OpenSSL
(3.0.0, 3.0.8)
Описание
Разыменование нулевого указателя может произойти, когда проверяются подписи для signedAndEnveloped или подписанных с помощью PKCS7 данных. Если алгоритм хэширования, используемый для подписи, известен библиотеке OpenSSL, но реализация алгоритма не доступна, то инициализация дайджеста не сработает. Проверка возвращаемого функцией инициализации значения отсутствует, что приводит к недопустимому использованию API дайджеста и аварийному завершению работы. Недоступность алгоритма может быть вызвана использованием FIPS-конфигурации провайдеров или отсутствием загрузки устаревших провайдеров. Данные PKCS7 обрабатываются вызовами библиотеки SMIME, а также вызовами библиотеки TS (временных меток). Реализация TLS в OpenSSL не предполагает вызовы этих функций, но сторонние приложения, вызывающие данные функции для проверки подписей недоверенных данных, являются уязвимыми.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.openssl.org/
https://www.openssl.org/
Ссылки
Источник: CVE
Наименование: CVE-2023-0401
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0401
Наименование: CVE-2023-0401
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0401