Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-00109

Опубликовано: 10 авг. 2017
Источник: fstec
CVSS3: 7.5
CVSS2: 5.1
EPSS Низкий

Описание

Уязвимость централизованной системы контроля версиями CVS связана с неправильной обработкой данных при взаимодействии с удаленным репозиторием по протоколу SSH. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированного имени хоста в URL-адресе репозитория

Вендор

ООО «РусБИТех-Астра»
Canonical Ltd.
Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition
Ubuntu
CVS

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)
17.04 (Ubuntu)
14.04 (Ubuntu)
1.12.1 (CVS)
1.12.3 (CVS)
1.12.5 (CVS)
1.12.6 (CVS)
1.12.7 (CVS)
1.12.9 (CVS)
1.12.10 (CVS)
1.12.11 (CVS)
1.12.12 (CVS)
1.12.13 (CVS)
16.04 (Ubuntu)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для CVS использование рекомендаций:
http://lists.nongnu.org/archive/html/bug-cvs/2017-08/msg00000.html
Для Ubuntu использование рекомендаций: http://www.ubuntu.com/usn/USN-3399-0
Для Debian GNU/Linux использование рекомендаций:
http://www.debian.org/security/2017/dsa-3940
Для Astra Linux:
обновление программного обеспечения до 2:1.12.13+real-9+deb7u1 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 89%
0.04282
Низкий

7.5 High

CVSS3

5.1 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-12836

CVSS3: 7.5
ubuntu
больше 8 лет назад

CVS 1.12.x, when configured to use SSH for remote repositories, might allow remote attackers to execute arbitrary code via a repository URL with a crafted hostname, as demonstrated by "-oProxyCommand=id;localhost:/bar."

redhat логотип

CVE-2017-12836

CVSS3: 5
redhat
больше 8 лет назад

CVS 1.12.x, when configured to use SSH for remote repositories, might allow remote attackers to execute arbitrary code via a repository URL with a crafted hostname, as demonstrated by "-oProxyCommand=id;localhost:/bar."

nvd логотип

CVE-2017-12836

CVSS3: 7.5
nvd
больше 8 лет назад

CVS 1.12.x, when configured to use SSH for remote repositories, might allow remote attackers to execute arbitrary code via a repository URL with a crafted hostname, as demonstrated by "-oProxyCommand=id;localhost:/bar."

debian логотип

CVE-2017-12836

CVSS3: 7.5
debian
больше 8 лет назад

CVS 1.12.x, when configured to use SSH for remote repositories, might ...

suse-cvrf логотип

openSUSE-SU-2017:2483-1

suse-cvrf
больше 8 лет назад

Security update for cvs

EPSS

Процентиль: 89%
0.04282
Низкий

7.5 High

CVSS3

5.1 Medium

CVSS2