ГлавнаяБаза уязвимостей БДУ → BDU:2024-11319
7.1средняя

BDU:2024-11319 (CVE-2023-46446)

Уязвимость пакета клиентской и серверной реализации протокола SSHv2 asyncssh интерпретатора языка программирования Python, позволяющая нарушителю проводить атаки типа "человек по середине"
Опубликовано: 2024-12-19
Описание

Уязвимость пакета клиентской и серверной реализации протокола SSHv2 asyncssh интерпретатора языка программирования Python связана с обходом авторизации посредством ключа, контролируемого пользователем. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить атаки типа "человек по середине"

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Ubuntu (22.04 LTS)Fedora (39)Red Hat Ceph Storage (6)Ubuntu (24.04 LTS)asyncssh (до 2.14.1)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для пакета AsyncSSH интерпретатора языка программирования Python:
https://github.com/ronf/asyncssh/blob/develop/docs/changes.rst

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-46446

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-46446

Для Ubuntu:
https://ubuntu.com/security/CVE-2023-46446

Для Fedora.:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ME34ROZWMDK5KLMZKTSA422XVJZ7IMTE/

Оценка CVSS
Балл7.1 — средняя опасность
Источники и патчи
http://packetstormsecurity.com/files/176280/Terrapin-SSH-Connection-Weakening.htmlhttps://github.com/advisories/GHSA-c35q-ffpf-5qpmhttps://github.com/ronf/asyncssh/blob/develop/docs/changes.rsthttps://github.com/ronf/asyncssh/security/advisories/GHSA-c35q-ffpf-5qpm ThirdPartyAdvisoryhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ME34ROZWMDK5KLMZKTSA422XVJZ7IMTE/https://redos.red-soft.ru/support/secure/https://security.netapp.com/advisory/ntap-20231222-0001/https://www.terrapin-attack.com
Проверьте безопасность своего сайта и почты → Полная проверка домена