ГлавнаяБаза уязвимостей БДУ → BDU:2024-00199
3.2средняя

BDU:2024-00199 (CVE-2023-6004)

Уязвимость компонента ProxyCommand/ProxyJump библиотеки libssh, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-01-12
Описание

Уязвимость компонента ProxyCommand/ProxyJump библиотеки libssh связана с неправильным контролем генерации кода. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПRed Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Fedora (38)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)АЛЬТ СП 10libssh (0.10.0)libssh (0.9.0)libssh (0.8.0)ОСОН ОСнова Оnyx (до 2.10)ROSA Virtualization 3.0 (3.0)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:

Для libssh:
https://www.libssh.org/security/advisories/CVE-2023-6004.txt

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-6004

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LZQVUHWVWRH73YBXUQJOD6CKHDQBU3DM/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения libssh до версии 0.9.8-0+deb11u1

Для ОС Astra Linux:
обновить пакет libssh до 0.9.8-0+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет libssh до 0.9.8-0+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2675

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2674

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2776

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2783

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:2504?lang=ru

Оценка CVSS
Балл3.2 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2023-6004https://bugzilla.redhat.com/show_bug.cgi?id=2251110https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LZQVUHWVWRH73YBXUQJOD6CKHDQBU3DM/https://www.libssh.org/security/advisories/CVE-2023-6004.txthttps://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10/
Проверьте безопасность своего сайта и почты → Полная проверка домена