Защита информации в КС / документы / ScanOval_Report_14_03_2023_1888d2d5-e8e8-4096-a8b1-7375494bde3b
.htmlОтчет по найденным уязвимостям html { font-family: Arial; } .font9pt { font-size: 9pt; } .font10pt { font-size: 10pt; } .bold { font-weight: bold; } div.header { background-color: #F2F2F2; vertical-align: middle; padding: 3px 5px 3px 0px; height: 46px; width: 724px; } div.header div.reportLogoContainer { float: left; height: 46px; display: table; } div.header div.reportLogoContainer div.middle { display: table-cell; vertical-align: middle; } div.header div.reportLogoContainer div.middle div.reportLogo { float: left; margin: auto; } div.header div.reportNameContainer { float: right; height: 46px; display: table; } div.header div.reportNameContainer div.middle { display: table-cell; vertical-align: middle; } div.header div.reportNameContainer div.middle div.reportName { float: right; font-weight: bold; font-size: 11pt; color: #9E0000; text-transform: uppercase; margin: auto; } div.conent { width: 724px; } div.footer { padding: 10px 25px 10px 25px; width: 724px; font-size: 11pt; font-family: Calibri; } div.footer div { text-align: center; color: #A9A9A9; margin: auto; } tr.hidden { display: none; } div.reportInfo { margin-top: 35px; } div.reportInfo table.reportInfo { border: 2px #ffffff; margin: auto; width: 722px; } div.reportInfo table.reportInfo td.key { background-color: #D9D9D9; width: 50%; padding-left: 5px; font-size: 10pt; } div.reportInfo table.reportInfo td.value { background-color: #EFF4FB; width: 50%; padding-left: 5px; font-style: italic; font-size: 9pt; } div.vulnerabilities { margin-top: 35px; } div.vulnerabilities div.vulnerabTitle { font-family: Calibri; font-size: 11pt; font-weight: bold; } div.vulnerabilities table.vulnerabilitiesTbl { border-spacing: 5px 3px; margin-left: -5px; } div.vulnerabilities table.vulnerabilitiesTbl thead { font-weight: bold; background-color: #D9D9D9; font-size: 9pt; font-family: Calibri; } div.vulnerabilities table.vulnerabilitiesTbl thead td.bduidHead { text-align: center; width: 180px; } div.vulnerabilities table.vulnerabilitiesTbl thead td.riskHead { text-align: center; width: 100px; } div.vulnerabilities table.vulnerabilitiesTbl thead td.descrHead { width: 464px; } div.vulnerabilities table.vulnerabilitiesTbl tr.even { background-color: #EFF4FB; } div.vulnerabilities table.vulnerabilitiesTbl td { font-size: 9pt; } div.vulnerabilities table.vulnerabilitiesTbl td.bdu { text-align: center; vertical-align: top; } div.vulnerabilities table.vulnerabilitiesTbl td.riskTextColor { color: #ffffff; } div.vulnerabilities table.vulnerabilitiesTbl td.risk { text-align: center; vertical-align: top; } div.vulnerabilities table.vulnerabilitiesTbl td.desc { padding: 3px 7px 3px 7px; } div.vulnerabilities table.vulnerabilitiesTbl td.fileslist { color: #515151; font-style: italic; } div.vulnerabilities table.vulnerabilitiesTbl td.prods { font-size: 8pt; } div.vulnerabilitiesList { margin-top: 35px; } div.vulnerabilitiesList div.vulnListTitle { font-family: Calibri; font-size: 11pt; font-weight: bold; } div.vulnerabilitiesList div.ref_id { padding-top: 2px; padding-bottom: 2px; font-weight: bold; vertical-align: middle; } div.vulnerabilitiesList div.ref_ref { padding-top: 2px; padding-bottom: 2px; padding-left: 37px; height: 17px; vertical-align: middle; } div.vulnerabilitiesList table.vulnerabilitiesListTbl { border-spacing: 5px 3px; width: 100%; font-size: 9pt; } div.vulnerabilitiesList table.vulnerabilitiesListTbl td.key { width: 20%; } div.vulnerabilitiesList table.vulnerabilitiesListTbl td.vulnerabTC { color: #FFFFFF; } div.vulnerabilitiesList table.vulnerabilitiesListTbl td.vulnerab { padding: 7px 17px 7px 17px; text-align: center; } div.vulnerabilitiesList table.vulnerabilitiesListTbl td.title { background-color: #D9D9D9; padding: 7px 17px 7px 17px; text-align: center; } div.vulnerabilitiesList table.vulnerabilitiesListTbl td.value { background-color: #EFF4FB; } div.vulnerabilitiesList table.vulnerabilitiesListTbl td.valueMargin { padding: 7px 7px 7px 7px; } div.reportStat { margin-top: 35px; padding-left: 15%; padding-right: 15%; } div.reportStat table.statTable { width: 100%; margin: auto; } table.statTable thead td { background-color: #EFF4FB; text-align: center; padding: 3px 3px 3px 3px; font-weight: bold; font-size: 9pt; } table.statTable tbody td { text-align: center; padding: 3px 3px 3px 3px; font-size: 9pt; } table.statTable tbody td.key { color: #ffffff; } Отчёт № отчета 1888d2d5-e8e8-4096-a8b1-7375494bde3b № сканирования 3da29a41-7c63-4f68-8d72-bd5fb81d5737 Профиль Уязвимости Начало/завершение сканирования 14.03.2023 19:15:43 / 14.03.2023 19:21:21 Формирование отчета 15.03.2023 9:07:39 Уровень опасности Найдено Всего Критический 10 3642 Высокий 41 7525 Средний 73 7731 Низкий 22 722 Недоступно 0 1 Всего 146 19621 Уязвимости [146] Идентификатор уязвимости Уровень опасности Название уязвимости BDU:2016-00635 Критический Функция doapr_outch в crypto/bio/b_print.c в OpenSSL 1.0.1 до 1.0.1s и 1.0.2 до 1.0.2g не проверяет, что выделение определённой памяти было успешным, что позволяет удалённым злоумышленникам вызвать отказ в обслуживании (запись за пределами выделенной памяти и потребление памяти) и имеет другие неизвестные воздействия через длинную строку, что демонстрируется большим количеством ASN.1 данных. Уязвимость отлична от CVE-2016-0799. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2016-00631 Критический Уязвимость двойного освобождения в функции dsa_priv_decode в crypto/dsa/dsa_ameth.c в OpenSSL 1.0.1 до 1.0.1s и 1.0.2 до 1.0.2g позволяет удалённым злоумышленникам вызвать отказ в обслуживании (повреждение памяти) и имеет другие неизвестные воздействия через поврежденный DSA private key. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2016-00634 Критический Функция fmtstr в crypto/bio/b_print.c в OpenSSL 1.0.1 до 1.0.1s и 1.0.2 до 1.0.2g неправильно высчитывает длину строки, что позволяет удалённым злоумышленникам вызвать отказ в обслуживании (переполнение и чтение за пределами выделенной памяти) и имеет другие неизвестные воздействия через длинную строку, что демонстрируется большим количеством ASN.1 данных. Уязвимость отлична от CVE-2016-2842. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2019-04263 Критический Уязвимость в Oracle Java до 8.0.222. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2022-04039 Критический Уязвимость в OpenSSL 3.0.0, 3.0.1, 3.0.2, 3.0.3, 1.1.1 до 1.1.1o, и 1.0.2 до 1.0.2ze позволяет злоумышленнику выполнить произвольные команды. C:\Program Files (x86)\Microsoft SQL Server Management Studio 19\Common7\IDE\Mashup\ODBC Drivers\Simba Spark ODBC Driver\LibCurl32.DllA\OpenSSL32.DllA\libssl-1_1.dll (1.1.1.12)C:\Program Files (x86)\Microsoft SQL Server Management Studio 19\Common7\IDE\Mashup\ODBC Drivers\Simba Spark ODBC Driver\OpenSSL32.DllA\libssl-1_1.dll (1.1.1.12)C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\CommonExtensions\Microsoft\VC\SecurityIssueAnalysis\python\libssl-1_1.dll (1.1.1.12)C:\Program Files\Sublime Text 3\libssl-1_1-x64.dll (1.1.1.10) BDU:2023-00609 Критический Целочисленное переполнение в Git до версии 2.30.7, 2.31.6, 2.32.5, 2.33.6, 2.34.6, 2.35.6, 2.36.4, 2.37.5, 2.38.3, и 2.39.1 позволяет выполнение произвольного кода. cpe:/a:git_project:git HKEY_LOCAL_MACHINE\SOFTWARE\GitForWindows!CurrentVersion:2.38.1 BDU:2022-07243 Критический Zoom до версии 5.11.0 подвержен уязвимости при синтаксическом анализе URL-адресов. При переходе по вредоносной ссылке Zoom, пользователь может быть перенаправлен на подключение к произвольному сетевому адресу, что приведет к дополнительным атакам, включая возможность удаленного выполнения кода путем запуска исполняемых файлов с произвольных путей. cpe:/a:zoom:zoom:individual_users_install C:\Users\niceo\AppData\Roaming\Zoom\bin\Zoom.exe (5.10.7.6120) BDU:2023-00499 Критический Целочисленное переполнение в Git до версии 2.30.7, 2.31.6, 2.32.5, 2.33.6, 2.34.6, 2.35.6, 2.36.4, 2.37.5, 2.38.3, и 2.39.1 позволяет удаленное выполнение произвольного кода. cpe:/a:git_project:git HKEY_LOCAL_MACHINE\SOFTWARE\GitForWindows!CurrentVersion:2.38.1 BDU:2021-04570 Критический Уязвимость в OpenSSL 1.1.1 до 1.1.1k, и 1.0.2 до 1.0.2y может вызвать атаку "Отказ в обслуживании", а также привести к раскрытию содержимого памяти. C:\Program Files\Sublime Text 3\libssl-1_1-x64.dll (1.1.1.10) BDU:2022-02559 Критический OpenSSL по 1.0.2h позволяет удалённым злоумышленникам вызвать отказ в обслуживании (целочисленное переполнение и падение приложения) и имеет другие неизвестные воздействия. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2016-00633 Высокий Утечка памяти в реализации SRP_VBASE_get_by_user в OpenSSL 1.0.1 до 1.0.1s и 1.0.2 до 1.0.2g позволяет удалённым злоумышленникам вызвать отказ в обслуживании (потребление памяти) через повреждённое имя пользователя при попытках подключения, связано с apps/s_server.c и crypto/srp/srp_vfy.c. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2022-03110 Высокий Графический драйвер NVIDIA содержит уязвимость в DirectX11 user mode driver (nvwgf2um/x.dll), что может привести к выполнению кода, вызвать отказ в обслуживании, повышению привилегий, раскрытию информации. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2019-01256 Высокий Уязвимость в алгоритме подписи OpenSSL DSA, злоумышленник может использовать различные варианты алгоритма подписи для восстановления закрытого ключа. Испралено в OpenSSL 1.1.1a-dev (1.1.1). Испралено в OpenSSL 1.1.0j-dev (1.1.0-1.1.0i). Испралено в OpenSSL 1.0.2q-dev (1.0.2-1.0.2p). C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2016-02167 Высокий BN_bn2dec функция в crypto/bn/bn_print.c в OpenSSL до 1.1.0 позволяет удалённым злоумышленникам вызвать отказ в обслуживании (запись за пределами выделенной памяти и падение приложения) и имеет другие неизвестные воздействия посредством неопределённых векторов атаки. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2020-00864 Высокий Уязвимость в Oracle Java до 8.0.232. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2022-02557 Высокий Реализация DTLS в OpenSSL до 1.1.0 позволяет удалённым злоумышленникам вызвать отказ в обслуживании (потребление памяти), связано с d1_lib.c, statem_dtls.c, statem_lib.c, и statem_srvr.c. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2019-01911 Высокий Множественные утечки памяти в t1_lib.c в OpenSSL до 1.0.1u, 1.0.2 до 1.0.2i, и 1.1.0 до 1.1.0a позволяют удалённым злоумышленникам вызвать отказ в обслуживании (потребление памяти) через OCSP Status Request. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2022-02461 Высокий Парсер certificate в OpenSSL до 1.0.1u и 1.0.2 до 1.0.2i позволяет удалённым злоумышленникам вызвать отказ в обслуживании (чтение за пределами выделенной памяти) через специально сформированный сертификат, связано с s3_clnt.c и s3_srvr.c. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2020-00861 Высокий Уязвимость в Oracle Java до 8.0.232. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02548 Высокий Уязвимость в Oracle Java 7u251, 8u241, 11.0.6 и 14. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-00859 Высокий Уязвимость в Oracle Java до 8.0.232. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02632 Высокий Уязвимость в Oracle Java 7u251, 8u241, 11.0.6 и 14. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02909 Высокий Чтение за пределами выделенной памяти и падение в OpenSSL 1.0.2 до 1.0.2k, и 1.1.0 до 1.1.0d. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2020-02910 Высокий Уязвимость в OpenSSL 1.0.2 до 1.0.2k, и 1.1.0 до 1.1.0d. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2022-01339 Высокий С тем, как функция WinVerifyTrust обрабатывает проверку подписи Authenticode в Windows для переносимых исполняемых (PE) файлов, связано существование уязвимости, делающей возможным удаленное выполнение кода. Анонимный злоумышленник может воспользоваться этой уязвимостью, изменив существующий подписанный переносимый исполняемый (PE) файл для обработки непроверенных частей файла. В результате в файл может быть добавлен вредоносный код без нарушения подлинности подписи. Воспользовавшись этой уязвимостью, злоумышленник может установить полный контроль над системой. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами. cpe:/o:microsoft:windows_10:::x64 BDU:2022-01315 Высокий Уязвимость в BN_mod_sqrt() функции OpenSSL 3.0.0, 3.0.1, 1.1.1 до 1.1.1m, и 1.0.2 до 1.0.2zc может привести к бесконечному циклу. C:\Program Files (x86)\Microsoft SQL Server Management Studio 19\Common7\IDE\Mashup\ODBC Drivers\Simba Spark ODBC Driver\LibCurl32.DllA\OpenSSL32.DllA\libssl-1_1.dll (1.1.1.12)C:\Program Files (x86)\Microsoft SQL Server Management Studio 19\Common7\IDE\Mashup\ODBC Drivers\Simba Spark ODBC Driver\OpenSSL32.DllA\libssl-1_1.dll (1.1.1.12)C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\CommonExtensions\Microsoft\VC\SecurityIssueAnalysis\python\libssl-1_1.dll (1.1.1.12)C:\Program Files\Sublime Text 3\libssl-1_1-x64.dll (1.1.1.10)C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2020-01341 Высокий Уязвимость в Oracle Java до 8.0.242. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2019-03920 Высокий Уязвимость в Oracle Java SE (компоненте: Libraries) версии: 7u231, 8u221, 11.0.4 и 13. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2019-03932 Высокий Уязвимость в Oracle Java 7u231, 8u221, 11.0.4 и 13. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через Kerberos скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2019-01912 Высокий Целочисленное переполнение в MDC2_Update функции в crypto/mdc2/mdc2dgst.c в OpenSSL до 1.1.0 позволяет удалённым злоумышленникам вызвать отказ в обслуживании (запись за пределами выделенной памяти и падение приложения) и имеет другие неизвестные воздействия посредством неопределённых векторов атаки. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2023-00850 Высокий Уязвимость удаленного выполнения кода в .NET и Visual Studio. cpe:/a:microsoft:.net var_ref=oval:ru.altx-soft.win:var:3175, value=6.0.13, value=7.0.2 BDU:2023-00665 Высокий Уязвимость, связанная с подменой типа в OpenSSL 3.0.0 до 3.0.8, и 1.1.1 до 1.1.1t при обработке X.509 GeneralName может позволить злоумышленнику передать произвольные указатели на вызов memcmp и прочитать содержимое памяти или вызвать отказ в обслуживании. C:\Program Files (x86)\Microsoft SQL Server Management Studio 19\Common7\IDE\Mashup\ODBC Drivers\Simba Spark ODBC Driver\LibCurl32.DllA\OpenSSL32.DllA\libssl-1_1.dll (1.1.1.12)C:\Program Files (x86)\Microsoft SQL Server Management Studio 19\Common7\IDE\Mashup\ODBC Drivers\Simba Spark ODBC Driver\OpenSSL32.DllA\libssl-1_1.dll (1.1.1.12)C:\Program Files\Git\mingw64\bin\libssl-1_1-x64.dll (1.1.1.17)C:\Program Files\Git\mingw64\libexec\git-core\libssl-1_1-x64.dll (1.1.1.17)C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\CommonExtensions\Microsoft\TeamFoundation\Team Explorer\Git\mingw64\bin\libssl-1_1-x64.dll (1.1.1.17)C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\CommonExtensions\Microsoft\VC\SecurityIssueAnalysis\python\libssl-1_1.dll (1.1.1.12)C:\Program Files\Sublime Text 3\libssl-1_1-x64.dll (1.1.1.10) BDU:2022-03060 Высокий Графический драйвер NVIDIA содержит уязвимость в обработчике режима ядра, что может привести к выполнению кода, отказу в обслуживании, повышению привилегий, раскрытию информации. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2022-02462 Высокий tls_decrypt_ticket функция в ssl/t1_lib.c в OpenSSL до 1.1.0 позволяет удалённым злоумышленникам вызвать отказ в обслуживании. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2021-04571 Высокий Уязвимость в OpenSSL 1.1.1 до 1.1.1k, и 1.0.2 до 1.0.2y может вызвать атаку "Отказ в обслуживании", а также привести к раскрытию содержимого памяти. C:\Program Files\Sublime Text 3\libssl-1_1-x64.dll (1.1.1.10)C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2022-06838 Высокий Уязвимость Visual Studio, связанная с удаленным выполнением кода. cpe:/a:microsoft:visual_studio:2022 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\60031cff!DisplayVersion:17.4.4 BDU:2019-03932 Высокий Уязвимость в Oracle Java SE (компоненте: Kerberos) версии: 7u231, 8u221, 11.0.4 и 13. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через Kerberos скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02964 Высокий Функция X509_NAME_oneline в crypto/x509/x509_obj.c в OpenSSL до 1.0.1t и 1.0.2 до 1.0.2h позволяет удалённым злоумышленникам получить доступ к конфиденциальной информации через память стека процесса и вызвать отказ в обслуживании (чтение за пределами буфера) через специально сформированные EBCDIC ASN.1 данные. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2022-02556 Высокий Функция TS_OBJ_print_bio в crypto/ts/ts_lib.c в реализации X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) в OpenSSL по 1.0.2h позволяет удалённым злоумышленникам вызвать отказ в обслуживании (чтение за пределами выделенной памяти и падение приложения). C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2019-00186 Высокий Уязвимость отказа в обслуживании в OpenSSL 1.1.0-1.1.0h, и 1.0.2-1.0.2o C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2020-03686 Высокий Уязвимость в Java SE версии Java SE: 8u251. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2019-00021 Высокий Уязвимость в алгоритме генерации OpenSSL RSA Key в OpenSSL 1.1.0-1.1.0h и 1.0.2b-1.0.2o. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2020-02960 Высокий Целочисленное переполнение в функции EVP_EncodeUpdate в crypto/evp/encode.c в OpenSSL до 1.0.1t и 1.0.2 до 1.0.2h позволяет удалённым злоумышленникам вызвать отказ в обслуживании (повреждение кучи) через большое количество бинарных данных. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2020-00459 Высокий Уязвимость в Oracle Java SE 7u241, 8u231, 11.0.5 и 13.0.1. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02963 Высокий Функция asn1_d2i_read_bio в crypto/asn1/a_d2i_fp.c в ASN.1 BIO реализации в OpenSSL до 1.0.1t и 1.0.2 до 1.0.2h позволяет удалённым злоумышленникам вызвать отказ в обслуживании (потребление памяти) через короткую повреждённую кодировку. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2022-02366 Высокий 7-Zip по 21.07 позволяет выполнить команды и повысить привилегии когда файл с расширением .7z перетаскивается в область Справка>Содержимое. Это вызвано неправильной конфигурацией 7z.dll и переполнением кучи. cpe:/a:7-zip:7-zip C:\Program Files\7-Zip\7z.exe (21.7.0.0) BDU:2022-03181 Высокий Уязвимость ввода команд в OpenSSL 3.0.0, 3.0.1, 3.0.2, 1.1.1 до 1.1.1n в c_rehash скрипте позволяет злоумышленнику выполнить произвольные команды. C:\Program Files (x86)\Microsoft SQL Server Management Studio 19\Common7\IDE\Mashup\ODBC Drivers\Simba Spark ODBC Driver\LibCurl32.DllA\OpenSSL32.DllA\libssl-1_1.dll (1.1.1.12)C:\Program Files (x86)\Microsoft SQL Server Management Studio 19\Common7\IDE\Mashup\ODBC Drivers\Simba Spark ODBC Driver\OpenSSL32.DllA\libssl-1_1.dll (1.1.1.12)C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\CommonExtensions\Microsoft\VC\SecurityIssueAnalysis\python\libssl-1_1.dll (1.1.1.12)C:\Program Files\Sublime Text 3\libssl-1_1-x64.dll (1.1.1.10) BDU:2020-03876 Высокий Уязвимость в Java SE, Java SE Embedded версии Java SE: 7u261, 8u251, 11.0.7 и 14.0.1; Java SE Embedded: 8u251. Легкая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE, Java SE Embedded. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-03866 Высокий Уязвимость в Java SE, Java SE Embedded версии Java SE: 7u261, 8u251, 11.0.7 и 14.0.1; Java SE Embedded: 8u251. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE, Java SE Embedded. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2017-01532 Высокий Уязвимость удаленного выполнения кода в Microsoft Office, когда не удается правильно обработать объекты в памяти. Уязвимость отлична от CVE-2017-8509, CVE-2017-8511, CVE-2017-8512, CVE-2017-0260, и CVE-2017-8506. cpe:/a:microsoft:office:2016 C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT (2012.1500.4931.1000) BDU:2019-00985 Высокий Если приложение сталкивается с фатальной ошибкой протокола и затем дважды вызывает SSL_shutdown () (один раз для отправки close_notify и один раз для получения), тогда OpenSSL может по-разному реагировать на вызывающее приложение, если получена 0-байтовая запись с неверным заполнением по сравнению с 0-байтовой записью с неверным MAC. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2018-01501 Средний Обработка рекурсивных структур в ASN.1 (например, применяются в PKCS7) в OpenSSL до 1.1.0h и до OpenSSL 1.0.2o может привести к переполнению стека и отказу в обслуживании при обработке определённым образом оформленных входных данных. Проблема не затрагивает SSL/TLS. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2020-00300 Средний Ошибка переполнения в OpenSSL 1.1.1-1.1.1d и 1.0.2-1.0.2t. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2019-00765 Средний Уязвимость в OpenSSL до 1.0.2n связана с механизмом "состояния ошибки". Если в случае возникновения фатальной ошибки продолжаются попытки продлить рукопожатие, данный механизм вызывает немедленный сбой. Проблема заключается в том, что при непосредственном вызове функций SSL_read () или SSL_write () механизм не срабатывает должным образом. OpenSSL 1.1.0 не подвержен. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2016-00896 Средний ssl/s2_srvr.c в OpenSSL 1.0.1 до 1.0.1r и 1.0.2 до 1.0.2f упрощает проведение атаки «man-in-the-middle» и обойти механизмы криптографической защиты, путем вычисления SSLv2 трафика, связано с get_client_master_key и get_client_hello функциями. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2021-03742 Средний Уязвимость в EVP_CipherUpdate, EVP_EncryptUpdate и EVP_DecryptUpdate в OpenSSL 1.1.1 до 1.1.1i, и 1.0.2 до 1.0.2x может привести к отказу в обслуживании. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2016-00632 Средний Множественные целочисленные переполнения в OpenSSL 1.0.1 до 1.0.1s и 1.0.2 до 1.0.2g позволяет удалённым злоумышленникам вызвать отказ в обслуживании (повреждение кучи и разыменование нулевого указателя) и имеет другие неизвестные воздействия через длинную цифровую строку, которая неправильно обрабатывается функциями BN_dec2bn и BN_hex2bn, связано с crypto/bn/bn.h и crypto/bn/bn_print.c. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2021-03744 Средний уязвимость разыменовывания нулевого указателя в функции X509_issuer_and_serial_hash() в OpenSSL 1.1.1 до 1.1.1i, и 1.0.2 до 1.0.2x может привести к отказу в обслуживании. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2022-03958 Средний Графический драйвер NVIDIA содержит уязвимость в обработчике режима ядра (nvlddmkm.sys) для DxgkDdiEscape, которая позволяет разыменование нулевого указателя и может привести к падению системы. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2021-01845 Средний Флаг X509_V_FLAG_X509_STRICT включает дополнительные проверки безопасности сертификатов, присутствующих в цепочке сертификатов. По умолчанию он не установлен. Начиная с OpenSSL версии 1.1.1h, в качестве дополнительной строгой проверки была добавлена проверка на запрет сертификатов в цепочке, которые имеют явно закодированные параметры эллиптической кривой. Ошибка в реализации этой проверки означала, что результат предыдущей проверки, подтверждающей, что сертификаты в цепочке являются действительными сертификатами CA, был перезаписан. Это эффективно обходит проверку того, что сертификаты, не относящиеся к ЦС, не должны иметь возможности выдавать другие сертификаты. Если "цель" была настроена, то существует последующая возможность проверки того, что сертификат является действительным ЦС. Все названные "целевые" значения, реализованные в libcryp, выполняют эту проверку. Следовательно, там, где установлена цель, цепочка сертификатов все равно будет отклонена, даже если использовался строгий флаг. Назначение устанавливается по умолчанию в процедурах проверки сертификатов клиента и сервера libssl, но оно может быть отменено или удалено приложением. Чтобы быть затронутым, приложение должно явно установить флаг проверки X509_V_FLAG_X509_STRICT и либо не устанавливать цель для проверки сертификата, либо, в случае клиентских или серверных приложений TLS, переопределить цель по умолчанию. OpenSSL версии 1.1.1h и новее подвержены этой проблеме. Пользователи этих версий должны перейти на OpenSSL 1.1.1k. OpenSSL 1.0.2 не подвержен этой проблеме. Исправлено в OpenSSL 1.1.1k (затронуто 1.1.1h-1.1.1j). C:\Program Files\Sublime Text 3\libssl-1_1-x64.dll (1.1.1.10) BDU:2021-01844 Средний Сервер OpenSSL TLS может дать сбой, если от клиента будет отправлено злонамеренно созданное сообщение ClientHello для повторного согласования. Если ClientHello с повторным согласованием TLSv1.2 пропускает расширение signature_algorithms (там, где оно присутствовало в исходном ClientHello), но включает расширение signature_algorithms_cert, то в результате будет разыменование указателя NULL, что приведет к сбою и атаке отказа в обслуживании. Сервер уязвим, только если у него есть TLSv1.2 и включено повторное согласование (что является конфигурацией по умолчанию). На клиентов OpenSSL TLS эта проблема не влияет. Этой проблеме подвержены все версии OpenSSL 1.1.1. Пользователи этих версий должны перейти на OpenSSL 1.1.1k. OpenSSL 1.0.2 не подвержен этой проблеме. Исправлено в OpenSSL 1.1.1k (затронуто 1.1.1-1.1.1j). C:\Program Files\Sublime Text 3\libssl-1_1-x64.dll (1.1.1.10) BDU:2022-03930 Средний Графический драйвер NVIDIA содержит уязвимость в ECC, что может привести к отказу в обслуживании. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2022-03941 Средний Графический драйвер NVIDIA содержит уязвимость в обработчике режима ядра (nvlddmkm.sys) для DxgkDdiEscape, что может привести к отказу в обслуживании и раскрытию информации. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2016-00661 Средний Протокол SSLv2 в OpenSSL до 1.0.1s и 1.0.2 до 1.0.2g требует, чтобы сервер посылал ServerVerify сообщение до установки, что клиент обладает определенным открытым текстом RSA Data, что упрощает удалённым злоумышленникам расшифровать TLS данные. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2022-01075 Средний Уязвимость антивирусной программы Windows Defender операционной системы Windows связана с с раскрытием информации в ошибочной области данных. Эксплуатация уязвимости может позволить нарушителю определить места в файловой системе, исключенные из сканирования Windows Defender, и записать произвольные файлы. cpe:/a:microsoft:windows_defender BDU:2022-03939 Средний Графический драйвер NVIDIA содержит уязвимость в обработчике режима ядра (nvlddmkm.sys) для DxgkDdiEscape, которая позволяет вызвать отказ в обслуживании. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2022-03126 Средний Графический драйвер NVIDIA содержит уязвимость в обработчике режима ядра, что может привести к отказу в обслуживании и раскрытию информации. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2022-03932 Средний Графический драйвер NVIDIA содержит уязвимость в обработчике режима ядра (nvlddmkm.sys), что может привести к отказу в обслуживании. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2020-02553 Средний Уязвимость в Oracle Java 8u241, 11.0.6 и 14. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02554 Средний Уязвимость в Oracle Java 7u251, 8u241, 11.0.6 и 14. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2022-03959 Средний Графический драйвер NVIDIA содержит уязвимость в обработчике режима ядра (nvlddmkm.sys) для DxgkDdiEscape, которая может привести к отказу в обслуживании. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2019-04135 Средний Уязвимость в Oracle Java 7u231, 8u221, 11.0.4 и 13. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02628 Средний Уязвимость в Oracle Java 7u251, 8u241, 11.0.6 и 14. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2019-03882 Средний Уязвимость в Oracle Java 7u231, 8u221, 11.0.4 и 13. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02630 Средний Уязвимость в Oracle Java 7u251, 8u241, 11.0.6 и 14. Легкая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через HTTPS скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-00456 Средний Уязвимость в Oracle Java 7u241, 8u231, 11.0.5 и 13.0.1. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через Kerberos скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2016-02168 Средний Реализация Anti-Replay в DTLS в OpenSSL до 1.1.0 позволяет удалённым злоумышленникам вызвать отказ в обслуживании через подмену протокол DTLS записи, связано с rec_layer_d1.c и ssl3_record.c. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2021-03037 Средний Переполнение буфера в OpenSSL 1.0.2 до 1.0.2k, и 1.1.0 по 1.1.0g позволяет атакующему получить доступ к коммуникациям, защищенным с помощью TLS. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2022-03929 Средний Графический драйвер NVIDIA содержит уязвимость в обработчике режима ядра (nvlddmkm.sys) для DxgkDdiEscape, что может привести к отказу в обслуживании. cpe:/a:nvidia:graphics_driver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver!DisplayVersion:512.72 BDU:2020-02552 Средний Уязвимость в Oracle Java 8u241, 11.0.6 и 14. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2022-02405 Средний Уязвимость в OpenSSL версии 1.0.1u и ниже похволяет злоумышленнику с локальным доступом восстанавливать закрытые ключи ECDSA P-256. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2019-03942 Средний Уязвимость в Oracle Java SE (компоненте: Libraries) версии: 7u231, 8u221, 11.0.4 и 13. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-00387 Средний Уязвимость в Oracle Java 7u241, 8u231, 11.0.5 и 13.0.1. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2018-01636 Средний Уязвимость процессоров Intel архитектур Skylake и Kaby Lake связана с с ошибками реализации технологии одновременной многопоточности (SMT). Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2021-00872 Средний Уязвимость отказа в обслуживании в функции GENERAL_NAME_cmp в OpenSSL 1.1.1 до 1.1.1h, и 1.0.2 до 1.0.2w. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2020-02907 Средний Уязвимость в OpenSSL 1.0.2 до 1.0.2k, и 1.1.0 до 1.1.0c. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2016-01654 Средний Реализация ASN1_TFLG_COMBINE в crypto/asn1/tasn_dec.c в OpenSSL до 0.9.8zh, 1.0.0 до 1.0.0t, 1.0.1 до 1.0.1q, и 1.0.2 до 1.0.2e позволяет удалённым злоумышленникам получить доступ к конфиденциальной информации из памяти процесса. C:\Program Files (x86)\PDF Commander\ssleay32.dll (1.0.1.16) BDU:2019-04135 Средний Уязвимость в Oracle Java SE (компоненте: Security) версии: 7u231, 8u221, 11.0.4 и 13. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2019-03883 Средний Уязвимость в Oracle Java SE (компоненте: 2D) версии: 7u231, 8u221, 11.0.4 и 13. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2019-03916 Средний Уязвимость в Oracle Java SE (компоненте: 2D) версии: 7u231, 8u221, 11.0.4 и 13. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02634 Средний Уязвимость в Oracle Java 7u251, 8u241, 11.0.6 и 14. Легкая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02555 Средний Уязвимость в Oracle Java 7u251, 8u241, 11.0.6 и 14. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2019-04082 Средний Уязвимость в OpenSSL до 1.1.1d, до 1.1.0l и до 1.0.2t позволяет восстановить CMS/PKCS7 транспортированный ключ шифрования или расшифровать любое сообщение, которое было зашифровано с помощью открытого ключа RSA. C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Salesforce\lib\LibCurl64.DllA\OpenSSL64.DllA\libssl-1_1-x64.dll (1.1.0.10)C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Salesforce\lib\OpenSSL64.DllA\libssl-1_1-x64.dll (1.1.0.10)C:\Program Files\Microsoft Office\root\Office16\ODBC Drivers\Redshift\lib\OpenSSL64.DllA\ssleay32.dll (1.0.2.10) BDU:2020-05047 Средний Уязвимость в Oracle Java SE (компоненте: Hotspot) версии Java SE: 7u271, 8u261, 11.0.8 и 15. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files (x86)\Zona\jre\bin\java.exe (8.0.2120.10) BDU:2020-02631 Средний Уязвимость в Oracle Java 7u251, 8u241, 11.0.6 и 14. Тяжелая в использовании уязвимость позволяет неавторизованным злоумышленникам с доступом к сети через несколько протоколов скомпрометировать Java SE. C:\Program Files