ГлавнаяБаза уязвимостей БДУ → BDU:2022-06039
10критическая

BDU:2022-06039 (CVE-2018-7750)

Уязвимость компонента transport.py библиотеки протокола SSHv2 для Python Paramiko, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2022-10-03
Описание

Уязвимость компонента transport.py библиотеки протокола SSHv2 для Python Paramiko связана с недостатками процедуры аутентификации. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)Paramiko (2.4.0)Paramiko (до 1.17.6)Paramiko (от 1.18.0 до 1.18.5)Paramiko (от 2.0.0 до 2.0.8)Paramiko (от 2.1.0 до 2.1.5)Paramiko (от 2.2.0 до 2.2.3)Paramiko (от 2.3.0 до 2.3.2)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для Paramiko:
использование рекомендаций производителя: https://github.com/paramiko/paramiko/commit/fa29bd8446c8eab237f5187d28787727b4610516

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2018-7750

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет paramiko до 2.0.0-1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения paramiko до версии 2.0.0-1+deb9u2

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/paramiko/paramiko/commit/fa29bd8446c8eab237f5187d28787727b4610516https://github.com/paramiko/paramiko/issues/1175https://nvd.nist.gov/vuln/detail/CVE-2018-7750https://security-tracker.debian.org/tracker/CVE-2018-7750https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16https://www.exploit-db.com/exploits/45712/https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена