9.3высокая
BDU:2019-03898 (CVE-2019-3855)
Уязвимость библиотеки libssh2, связанная с целочисленным переполнением, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-11-04
Описание
Уязвимость библиотеки libssh2 связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем подключения к SSH-серверу
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (Server 6)Red Hat Enterprise Linux (Desktop 6)Red Hat Enterprise Linux (Workstation 6)Red Hat Enterprise Linux (Desktop 7)Red Hat Enterprise Linux (Workstation 7)Red Hat Enterprise Linux (Server 7)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Fedora (28)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Red Hat Enterprise Linux (Server AUS 7.6)Red Hat Enterprise Linux (Server TUS 7.6)OpenSUSE Leap (15.0)Fedora (30)Red Hat Enterprise Linux (for Scientific Computing 7)Red Hat Enterprise Linux (for Power, little endian - Extended Update Supp 7.5)Red Hat Enterprise Linux (for Power, big endian - Extended Update Support 7.5)Red Hat Enterprise Linux (for IBM z Systems - Extended Update Support 7.5)Red Hat Enterprise Linux (for IBM z Systems 7)Red Hat Enterprise Linux (for ARM 64 7)Debian GNU/Linux (8)libssh2 (до 1.8.1)Red Hat Enterprise Linux (for Power, big endian - Extended Update Support 7.6)Red Hat Enterprise Linux (for Power, little endian - Extended Update Support 7.6)Red Hat Enterprise Linux (for IBM z Systems - Extended Update Support 7.6)Red Hat Enterprise Linux (Server- Update Services for SAP Solutions 7.3)Red Hat Enterprise Linux (Server- Update Services for SAP Solutions 7.4)Red Hat Enterprise Linux (Server- Update Services for SAP Solutions 7.6)Red Hat Enterprise Linux (for Scientific Computing 6)
Способ устранения
Использование рекомендаций:
Для libssh2:
https://www.libssh2.org/CVE-2019-3855.html
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html
Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3855
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6LUNHPW64IGCASZ4JQ2J5KDXNZN53DWW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M7IF3LNHOA75O4WZWIHJLIRMA5LJUED3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XCWEA5ZCLKRDUK62QVVYMFWLWKOPX3LO/
Для Astra Linux использование рекомендаций, приведенных в бюллетенях № 20190912SE16 и № 20191225SE81:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/pages/viewpage.action?pageId=67111271
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи