Обновления безопасности
Назад к п.2
2.1167 Множественные уязвимости openbao
| Идентификатор бюллетеня | ROS-20250912-13 |
| Идентификатор CVE | CVE-2025-54996 |
| Идентификатор БДУ ФСТЭК России | BDU:2025-11283 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:M/C:C/I:C/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(8.3) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Высокий(7.2) |
| Описание уязвимости | Уязвимость системы управления секретами и шифрованием OpenBao связана с неправильным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить привилегии |
| Идентификатор CVE | CVE-2025-54997 |
| Идентификатор БДУ ФСТЭК России | BDU:2025-11282 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:M/C:C/I:C/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(8.3) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Критичный(9.1) |
| Описание уязвимости | Уязвимость системы управления секретами и шифрованием OpenBao связана с обходом ограничения через подсистему аудита, манипулируя префиксами журналов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять несанкционированный код и осуществлять сетевой доступ, нарушающий предполагаемую модель безопасности |
| Идентификатор CVE | CVE-2025-54998 |
| Идентификатор БДУ ФСТЭК России | BDU:2025-11281 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.0) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
| Описание уязвимости | Уязвимость системы управления секретами и шифрованием OpenBao связана с алиасингом между атрибутами псевдонимов сущностей пользователей. Эксплуатация уязвимости может позволить нарушителю, получить доступ к конфиденциальным данным |
| Идентификатор CVE | CVE-2025-54999 |
| Идентификатор БДУ ФСТЭК России | BDU:2025-11277 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:P/I:N/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Низкий(2.6) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Низкий(3.7) |
| Описание уязвимости | Уязвимость системы управления секретами и шифрованием OpenBao связана с перебором пользователей из-за разницы во времени между несуществующими пользователями и пользователями с сохранёнными учётными данными. Эксплуатация уязвимости может позволить нарушителю, получить доступ к конфиденциальным данным |
| Идентификатор CVE | CVE-2025-55000 |
| Идентификатор БДУ ФСТЭК России | BDU:2025-11280 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:C/I:N/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(6.8) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.5) |
| Описание уязвимости | Уязвимость системы управления секретами и шифрованием OpenBao связана с непредвиденной нормализацией в базовой библиотеке TOTP. Эксплуатация уязвимости может позволить нарушителю, получить доступ к конфиденциальным данным |
| Идентификатор CVE | CVE-2025-55001 |
| Идентификатор БДУ ФСТЭК России | BDU:2025-11279 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:M/C:C/I:C/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.7) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.5) |
| Описание уязвимости | Уязвимость системы управления секретами и шифрованием OpenBao связана с использованием параметра username_as_alias=true в методе аутентификации LDAP используется дословно без нормализации. Эксплуатация уязвимости может позволить нарушителю, обойти ограничения безопасности |
| Идентификатор CVE | CVE-2025-55003 |
| Идентификатор БДУ ФСТЭК России | BDU:2025-11278 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:C/I:N/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(6.8) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.7) |
| Описание уязвимости | Уязвимость системы управления секретами и шифрованием OpenBao связана с нормализацией применяемой базовой библиотекой TOTP допускает коды, содержащие пробелы. Эксплуатация уязвимости может позволить нарушителю, обойти ограничения безопасности |
| Наименование уязвимого пакета |
openbao |
| Версия уязвимого пакета младше | 2.4.0-1 |
| Пакет обновления |
openbao-0:2.4.0-1.el7.x86_64 |
| Версия ОС | 7.3 |
| Архитектура ОС |
x86_64 |
| Возможные меры по устранению уязвимости |
|
| Дата публикации бюллетеня | 12.09.2025 |
| Дата последнего изменения | 12.09.2025 |
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.