9.3высокая
BDU:2019-03917 (CVE-2019-3857)
Уязвимость команды SSH_MSG_CHANNEL_REQUEST библиотеки libssh2, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-11-06
Описание
Уязвимость команды SSH_MSG_CHANNEL_REQUEST библиотеки libssh2 связана с записью данных за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем подключения к SSH-серверу
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (Server 6)Red Hat Enterprise Linux (Desktop 6)Red Hat Enterprise Linux (Workstation 6)Red Hat Enterprise Linux (Desktop 7)Red Hat Enterprise Linux (Workstation 7)Red Hat Enterprise Linux (Server 7)Astra Linux Special Edition (1.5 «Смоленск»)OpenSUSE Leap (42.3)Fedora (28)libssh2 (от 1.2.8 до 1.8.1)Red Hat Enterprise Linux (Server TUS 7.6)Red Hat Enterprise Linux (Server - AUS 7.6)OpenSUSE Leap (15.0)Red Hat Enterprise Linux (for Scientific Computing 7)Red Hat Enterprise Linux (for Power, little endian - Extended Update Supp 7.5)Red Hat Enterprise Linux (for Power, little endian 7)Red Hat Enterprise Linux (for Power, big endian - Extended Update Support 7.5)Red Hat Enterprise Linux (for IBM z Systems - Extended Update Support 7.5)Red Hat Enterprise Linux (for IBM z Systems 7)Red Hat Enterprise Linux (for IBM System z (Structure A) 7)Red Hat Enterprise Linux (for ARM 64 7)Debian GNU/Linux (8)Red Hat Enterprise Linux (7.5 Extended Update Support)Red Hat Enterprise Linux (for Power, big endian 7)Red Hat Enterprise Linux (for Power 9.7)Red Hat Enterprise Linux (EUS Computer Node 7.6)Red Hat Enterprise Linux (for Power, big endian - Extended Update Support 7.6)Red Hat Enterprise Linux (for Power, little endian - Extended Update Support 7.6)Red Hat Enterprise Linux (for IBM z Systems - Extended Update Support 7.6)Red Hat Enterprise Linux (Server TUS 7.3)
Способ устранения
Использование рекомендаций:
Для libssh2:
https://www.libssh2.org/CVE-2019-3857.html
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html
Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3857
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/
Для Astra Linux:
Обновление программного обеспечения (пакета libssh2) до 1.7.0-1+deb9u1 или более поздней версии
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи