5.8средняя
BDU:2019-03788 (CVE-2019-6111)
Уязвимость средства криптографической защиты OpenSSH, вызваная ошибками при проверке имени каталога scp.c в клиенте scp, позволяющая нарушителю изменить права доступа к целевому каталогу
Опубликовано: 2019-10-29
Описание
Уязвимость средства криптографической защиты OpenSSH вызвана ошибками при проверке имени каталога scp.c в клиенте scp. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить права доступа к целевому каталогу используя имя файла «.» или пустое имя файла
Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.2)Ubuntu (18.04 LTS)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)OpenSSH (до 7.9 включительно)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE OpenStack Cloud (7)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)OpenSUSE Leap (15.0)SUSE CaaS Platform (3.0)SUSE Linux Enterprise Module for Desktop Applications (15)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)
Способ устранения
Использование рекомендаций производителя:
Для OpenSSH:
https://cvsweb.openbsd.org/src/usr.bin/ssh/scp.c
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4387
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-6111.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-6111/
Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/cve-2019-6111
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=104498138
https://wiki.astralinux.ru/pages/viewpage.action?pageId=117998111
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Для PAN-OS:
https://security.paloaltonetworks.com/PAN-SA-2020-0002
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Оценка CVSS
| Балл | 5.8 — средняя опасность |
Источники и патчи