ГлавнаяБаза уязвимостей БДУ → BDU:2019-02721
9высокая

BDU:2019-02721

Уязвимость библиотеки Paramiko операционных систем Oracle Solaris, Ubuntu, Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Virtualization и консоли управления Red Hat Ansible Tower, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-07-30
Описание

Уязвимость библиотеки Paramiko операционных систем Oracle Solaris, Ubuntu, Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Virtualization и консоли управления Red Hat Ansible Tower связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью SSH протокола

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)Solaris (11.4)Red Hat Enterprise Linux (Desktop 6.0)Red Hat Enterprise Linux (Server 6.0)Red Hat Enterprise Linux (Workstation 6.0)Ubuntu (12.04 ESM)Red Hat Enterprise Linux (Server AUS 7.6)Red Hat Enterprise Linux (Server EUS 7.6)Red Hat Enterprise Linux (Server TUS 7.6)Red Hat Enterprise Linux (Desktop 7.0)Red Hat Enterprise Linux (Server AUS 6.4)Red Hat Enterprise Linux (Server AUS 6.5)Red Hat Enterprise Linux (Server AUS 6.6)Red Hat Enterprise Linux (Server EUS 6.7)Red Hat Enterprise Linux (Server TUS 6.6)Red Hat Enterprise Linux (Workstation 7.0)Red Hat Virtualization (4.0)Ansible Tower (3.3)Paramiko (2.4.1)Paramiko (2.3.2)Paramiko (2.2.3)Paramiko (2.1.5)Paramiko (2.0.8)Paramiko (1.18.5)Paramiko (1.17.6)Debian GNU/Linux (8)
Способ устранения

Использование рекомендаций:

Для Paramiko: обновление программного обеспечения до актуальной версии

Для Ubuntu:
https://usn.ubuntu.com/3796-1/
https://usn.ubuntu.com/3796-2/
https://usn.ubuntu.com/3796-3/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/10/msg00018.html

Для Oracle Solaris:
https://www.oracle.com/technetwork/topics/security/bulletinjul2019-5600410.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2018:3505
https://access.redhat.com/errata/RHSA-2018:3406
https://access.redhat.com/errata/RHSA-2018:3347
https://access.redhat.com/errata/RHBA-2018:3497

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет paramiko до 2.0.0-1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения paramiko до версии 2.0.0-1+deb9u2

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/bulletinjul2019-5600410.htmlhttps://github.com/paramiko/paramiko/issues/1283https://herolab.usd.de/wp-content/uploads/sites/4/usd20180023.txthttps://lists.debian.org/debian-lts-announce/2018/10/msg00018.htmlhttps://usn.ubuntu.com/3796-1/https://usn.ubuntu.com/3796-2/https://usn.ubuntu.com/3796-3/https://access.redhat.com/errata/RHSA-2018:3505
Проверьте безопасность своего сайта и почты → Полная проверка домена