ГлавнаяБаза уязвимостей БДУ → BDU:2019-03864
6.4критическая

BDU:2019-03864 (CVE-2019-3862)

Уязвимость команды SSH_MSG_CHANNEL_REQUEST библиотеки libssh2, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-11-04
Описание

Уязвимость команды SSH_MSG_CHANNEL_REQUEST библиотеки libssh2 связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации путем подключения к SSH-серверу

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)OpenSUSE Leap (42.3)Fedora (28)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)PeopleSoft Enterprise (8.56)PeopleSoft Enterprise (8.57)OpenSUSE Leap (15.0)Debian GNU/Linux (8)libssh2 (от 0.11 до 1.8.0 включительно)
Способ устранения

Использование рекомендаций:
Для libssh2:
https://www.libssh2.org/CVE-2019-3862.html

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
https://www.debian.org/security/2019/dsa-4431

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XCWEA5ZCLKRDUK62QVVYMFWLWKOPX3LO/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет libssh2 до 1.7.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Оценка CVSS
Балл6.4 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.htmlhttp://packetstormsecurity.com/files/152136/Slackware-Security-Advisory-libssh2-Updates.htmlhttp://www.openwall.com/lists/oss-security/2019/03/18/3http://www.securityfocus.com/bid/107485https://access.redhat.com/errata/RHSA-2019:1884https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3862https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
Проверьте безопасность своего сайта и почты → Полная проверка домена