ГлавнаяБаза уязвимостей БДУ → BDU:2019-03871
9.4критическая

BDU:2019-03871 (CVE-2019-3858)

Уязвимость библиотеки libssh2, связанная с чтением данных за границами буфера, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-11-04
Описание

Уязвимость библиотеки libssh2 связана с чтением данных за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации путем подключения к SSH-серверу

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (Desktop 7)Red Hat Enterprise Linux (Workstation 7)Red Hat Enterprise Linux (Server 7)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Fedora (28)PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)OpenSUSE Leap (15.0)Red Hat Enterprise Linux (for Scientific Computing 7)Red Hat Enterprise Linux (for Power, little endian 7)Red Hat Enterprise Linux (for IBM z Systems 7)Debian GNU/Linux (8)Red Hat Enterprise Linux (for Power, big endian 7)libssh2 (от 0.3 до 1.8.0 включительно)
Способ устранения

Использование рекомендаций:
Для libssh2:
https://www.libssh2.org/CVE-2019-3858.html

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:2136
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3858

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
https://www.debian.org/security/2019/dsa-4431

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XCWEA5ZCLKRDUK62QVVYMFWLWKOPX3LO/

Для Oracle:
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет libssh2 до 1.7.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.htmlhttp://packetstormsecurity.com/files/152136/Slackware-Security-Advisory-libssh2-Updates.htmlhttp://www.openwall.com/lists/oss-security/2019/03/18/3http://www.securityfocus.com/bid/107485https://access.redhat.com/errata/RHSA-2019:2136https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3858https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
Проверьте безопасность своего сайта и почты → Полная проверка домена