ГлавнаяБаза уязвимостей БДУ → BDU:2023-08853
7.1высокая

BDU:2023-08853 (CVE-2023-51385)

Уязвимость реализации протокола SSH, связанная с возможностью откорректировать порядковые номера пакетов в процессе согласования соединения и добиться удаления произвольного числа служебных SSH-сообщений, позволяющая нарушителю обойти проверки целостности, отключить существующие функции безопасности, получить несанкционированный доступ к защищаемой информации
Опубликовано: 2023-12-19
Описание

Уязвимость реализации протокола SSH связана с возможностью откорректировать порядковые номера пакетов в процессе согласования соединения и добиться удаления произвольного числа служебных SSH-сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти проверки целостности, отключить существующие функции безопасности, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)РОСА Кобальт (7.9)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)АЛЬТ СП 10OpenSSH (до 9.6)PuTTY (до 0.80)libssh (от 0.9.0 до 0.9.8)libssh (от 0.10.0 до 0.10.6)asyncssh (до 2.14.2)Kaspersky Anti Targeted Attack Platform (до 6.0.1)Kaspersky Endpoint Detection and Response (до 6.0.1)ОСОН ОСнова Оnyx (до 2.10)Tinode Chat (до 0.22.9)Astra Linux Special Edition (1.8)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимостей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- отключение затронутых шифров chacha20-poly1305@openssh.com и алгоритмов MAC -etm@openssh.com в конфигурации SSH-сервера (или клиента);
- использование незатронутых алгоритмов, таких как AES-GCM;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа.

Использование рекомендаций производителя:
Для OpenSSH:
https://www.openssh.com/txt/release-9.6
https://www.openssh.com/openbsd.html

Для PuTTY:
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

Для libssh:
https://www.libssh.org/2023/12/18/libssh-0-10-6-and-libssh-0-9-8-security-releases/

Для AsyncSSH:
https://github.com/ronf/asyncssh/releases/tag/v2.14.2

Для программных продуктов АО «Лаборатория Касперского»:
https://support.kaspersky.ru/kata/6.0/troubleshooting/16027
https://support.kaspersky.ru/vulnerability/list-of-advisories/12430#190224

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства



Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения libssh до версии 0.9.8-0+deb11u1
Обновление программного обеспечения openssh до версии 1:9.6p1-3osnova9.onyx

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2382
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Tinode Chat:
https://github.com/tinode/chat/releases/tag/v0.22.12

Для ОС Astra Linux:
- обновить пакет libssh до 0.9.8-0+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет libssh2 до 1.11.0-4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет paramiko до 2.6.0-2ubuntu0.3+ci202407031722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет erlang до 1:22.2.7+dfsg-1+deb10u1+ci202403191535+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет openssh до 1:8.4p1-2~deb10u1astra6se11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет libssh до 0.9.8-0+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет libssh2 до 1.11.0-4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет paramiko до 2.6.0-2ubuntu0.3+ci202407031722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет erlang до 1:22.2.7+dfsg-1+deb10u1+ci202403191535+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет openssh до 1:8.4p1-2~deb10u1astra6se11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2675

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2674

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2662

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2776

Для ОС Astra Linux:
- обновить пакет paramiko до 2.12.0-2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
- обновить пакет erlang до 1:25.2.3+dfsg-1+deb12u1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения erlang до версии 1:25.2.3+dfsg-1+deb12u3

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://www.opennet.ru/opennews/art.shtml?num=60304https://www.opennet.ru/opennews/art.shtml?num=60305https://www.openssh.com/txt/release-9.6https://www.openssh.com/openbsd.htmlhttps://www.chiark.greenend.org.uk/~sgtatham/putty/latest.htmlhttps://www.libssh.org/2023/12/18/libssh-0-10-6-and-libssh-0-9-8-security-releases/https://github.com/ronf/asyncssh/releases/tag/v2.14.2https://support.kaspersky.ru/kata/6.0/troubleshooting/16027
Проверьте безопасность своего сайта и почты → Полная проверка домена