ГлавнаяБаза уязвимостей БДУ → BDU:2019-03867
9.4критическая

BDU:2019-03867 (CVE-2019-3859)

Уязвимость функций _libssh2_packet_require и _libssh2_packet_requirev библиотеки libssh2, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-11-04
Описание

Уязвимость функций _libssh2_packet_require и _libssh2_packet_requirev библиотеки libssh2 связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации путем подключения к SSH-серверу

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)OpenSUSE Leap (42.3)Fedora (28)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)OpenSUSE Leap (15.0)Debian GNU/Linux (8)libssh2 (от 0.1 до 1.8.0 включительно)
Способ устранения

Использование рекомендаций:
Для libssh2:
https://www.libssh2.org/CVE-2019-3859.html

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00102.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00103.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
https://lists.debian.org/debian-lts-announce/2019/04/msg00006.html
https://lists.debian.org/debian-lts-announce/2019/07/msg00024.html

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XCWEA5ZCLKRDUK62QVVYMFWLWKOPX3LO/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет libssh2 до 1.7.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00102.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00103.htmlhttp://packetstormsecurity.com/files/152136/Slackware-Security-Advisory-libssh2-Updates.htmlhttp://www.openwall.com/lists/oss-security/2019/03/18/3http://www.securityfocus.com/bid/107485https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3859
Проверьте безопасность своего сайта и почты → Полная проверка домена