ГлавнаяБаза уязвимостей БДУ → BDU:2022-01897
4средняя

BDU:2022-01897 (CVE-2022-24302)

Уязвимость реализации протокола SSHv2 библиотеки Paramiko, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю получить доступ к конфиденциальной информации
Опубликовано: 2022-04-07
Описание

Уязвимость реализации протокола SSHv2 библиотеки Paramiko связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, получить доступ к конфиденциальной информации

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (34)Fedora (35)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Fedora (36)Paramiko (до 2.10.1)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Paramiko:
Обновление программного обеспечения до версии 2.10.1 и выше

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2022/03/msg00032.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LUEUEGILZ7MQXRSUF5VMMO4SWJQVPTQL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TPMKRUS4HO3P7NR7P4Y6CLHB4MBEE3AI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U63MJ2VOLLQ35R7CYNREUHSXYLWNPVSB/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения paramiko до версии 2.4.2-0.1+deb10u1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет paramiko до 2.0.0-1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения paramiko до версии 2.0.0-1+deb9u2

Для ОС Astra Linux:
обновить пакет paramiko до 2.6.0-2ubuntu0.3+ci202407031722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет paramiko до 2.6.0-2ubuntu0.3+ci202407031722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-24302https://nvd.nist.gov/vuln/detail/CVE-2022-24302https://github.com/paramiko/paramiko/blob/363a28d94cada17f012c1604a3c99c71a2bda003/paramiko/pkey.py#L546https://lists.debian.org/debian-lts-announce/2022/03/msg00032.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LUEUEGILZ7MQXRSUF5VMMO4SWJQVPTQL/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TPMKRUS4HO3P7NR7P4Y6CLHB4MBEE3AI/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U63MJ2VOLLQ35R7CYNREUHSXYLWNPVSB/
Проверьте безопасность своего сайта и почты → Полная проверка домена