ГлавнаяБаза уязвимостей БДУ → BDU:2022-01880
4.3средняя

BDU:2022-01880 (CVE-2016-20012)

Уязвимость средства криптографической защиты OpenSSH, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2022-04-07
Описание

Уязвимость средства криптографической защиты OpenSSH связана с тем, что вызов отправляется только если комбинация имени пользователя и открытого ключа может быть действительной для входа в систему. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)OpenSSH (до 8.7 включительно)
Способ устранения

Для OpenSSH:
использование рекомендаций производителя: https://github.com/openssh/openssh-portable/pull/270

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2016-20012

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-openssh-cve-2016-20012/?sphrase_id=966117

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://github.com/openssh/openssh-portable/blob/d0fffc88c8fe90c1815c6f4097bc8cbcabc0f3dd/auth2-pubkey.c#L261-L265https://github.com/openssh/openssh-portable/pull/270https://nvd.nist.gov/vuln/detail/CVE-2016-20012https://rushter.com/blog/public-ssh-keys/https://security-tracker.debian.org/tracker/CVE-2016-20012https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-openssh-cve-2016-20012/?sphrase_id=966117
Проверьте безопасность своего сайта и почты → Полная проверка домена