ГлавнаяБаза уязвимостей БДУ → BDU:2020-02642
8.5высокая

BDU:2020-02642 (CVE-2019-14889)

Уязвимость функции ssh_scp_new() библиотеки libssh, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-06-05
Описание

Уязвимость функции ssh_scp_new() библиотеки libssh связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Ubuntu (19.04)Red Hat Enterprise Linux (8.0)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Ubuntu (19.10)libssh (0.8.8)libssh (от 0.9.0 до 0.9.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html

Для libssh:
https://www.libssh.org/security/advisories/CVE-2019-14889.txt

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7JJWJTXVWLLJTVHBPGWL7472S5FWXYQR/

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2019-14889.html

Для Debian GNU/Linux
https://security-tracker.debian.org/tracker/CVE-2019-14889

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-14889/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-14889/

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН Основа:
Обновление программного обеспечения libssh до версии 0.9.5-1+deb11u1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения x2goclient до версии 4.0.5.2-2+deb9u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpuapr2020.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7JJWJTXVWLLJTVHBPGWL7472S5FWXYQR/https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2019-14889.htmlhttps://security-tracker.debian.org/tracker/CVE-2019-14889https://www.suse.com/security/cve/CVE-2019-14889/https://access.redhat.com/security/cve/cve-2019-14889/https://www.libssh.org/security/advisories/CVE-2019-14889.txthttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена