ГлавнаяБаза уязвимостей БДУ → BDU:2019-03795
6.8высокая

BDU:2019-03795 (CVE-2019-3863)

Уязвимость бибиотеки libssh2, связанная с записью за границами буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании, выполнить произвольный код или раскрыть защищаемую информацию
Опубликовано: 2019-10-29
Описание

Уязвимость бибиотеки libssh2 связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действющему удаленно, вызвать отказ в обслуживании, выполнить произвольный код или раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Fedora (28)PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Software Development Kit (11 SP4)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)SUSE CaaS Platform (3.0)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)
Способ устранения

Использование рекомендаций производителя:
Для libssh2:
https://www.libssh2.org/CVE-2019-3863.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpuoct2019.html

Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/CVE-2019-3863?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW

Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4431

Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20190327-0005/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-3863/
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет libssh2 до 1.7.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-3863https://www.libssh2.org/CVE-2019-3863.htmlhttps://access.redhat.com/security/cve/CVE-2019-3863?extIdCarryOver=true&sc_cid=701f2000001OH7JAAWhttps://www.debian.org/security/2019/dsa-4431https://security.netapp.com/advisory/ntap-20190327-0005/https://www.suse.com/security/cve/CVE-2019-3863/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/
Проверьте безопасность своего сайта и почты → Полная проверка домена