ГлавнаяБаза уязвимостей БДУ → BDU:2019-03788
5.8средняя

BDU:2019-03788 (CVE-2019-6111)

Уязвимость средства криптографической защиты OpenSSH, вызваная ошибками при проверке имени каталога scp.c в клиенте scp, позволяющая нарушителю изменить права доступа к целевому каталогу
Опубликовано: 2019-10-29
Описание

Уязвимость средства криптографической защиты OpenSSH вызвана ошибками при проверке имени каталога scp.c в клиенте scp. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить права доступа к целевому каталогу используя имя файла «.» или пустое имя файла

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.2)Ubuntu (18.04 LTS)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)OpenSSH (до 7.9 включительно)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE OpenStack Cloud (7)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)OpenSUSE Leap (15.0)SUSE CaaS Platform (3.0)SUSE Linux Enterprise Module for Desktop Applications (15)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)
Способ устранения

Использование рекомендаций производителя:
Для OpenSSH:
https://cvsweb.openbsd.org/src/usr.bin/ssh/scp.c

Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4387

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-6111.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-6111/

Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/cve-2019-6111

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=104498138
https://wiki.astralinux.ru/pages/viewpage.action?pageId=117998111
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для PAN-OS:
https://security.paloaltonetworks.com/PAN-SA-2020-0002

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-6111https://www.exploit-db.com/exploits/46193https://cvsweb.openbsd.org/src/usr.bin/ssh/scp.chttps://www.debian.org/security/2019/dsa-4387https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-6111.htmlhttps://www.suse.com/security/cve/CVE-2019-6111/https://access.redhat.com/security/cve/cve-2019-6111
Проверьте безопасность своего сайта и почты → Полная проверка домена