ГлавнаяБаза уязвимостей БДУ → BDU:2019-03866
9.4критическая

BDU:2019-03866 (CVE-2019-3860)

Уязвимость библиотеки libssh2, связанная с чтением данных за границами буфера, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-11-04
Описание

Уязвимость библиотеки libssh2 связана с чтением данных за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации путем подключения к SSH-серверу

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)OpenSUSE Leap (42.3)Fedora (28)Astra Linux Special Edition (1.6 «Смоленск»)OpenSUSE Leap (15.0)Debian GNU/Linux (8)libssh2 (от 0.3 до 1.8.0 включительно)
Способ устранения

Использование рекомендаций:
Для libssh2:
https://www.libssh2.org/CVE-2019-3860.html

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00072.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
https://lists.debian.org/debian-lts-announce/2019/07/msg00028.html

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет libssh2 до 1.7.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-06/msg00072.htmlhttps://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3860https://lists.debian.org/debian-lts-announce/2019/03/msg00032.htmlhttps://lists.debian.org/debian-lts-announce/2019/07/msg00028.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/https://seclists.org/bugtraq/2019/Apr/25
Проверьте безопасность своего сайта и почты → Полная проверка домена