BDU:2019-01303

Опубликовано: 03 дек. 2018

Источник: fstec

CVSS3: 9.1

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость библиотеки libssh2 связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или раскрыть защищаемую информацию

Вендор

ООО «РусБИТех-Астра»

Novell Inc.

Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise Module for Basesystem

Suse Linux Enterprise Server

SUSE Linux Enterprise High Performance Computing

libssh2

OpenStack Cloud Magnum Orchestration

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)

1.6 «Смоленск» (Astra Linux Special Edition)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

15 GA (SUSE Linux Enterprise Module for Basesystem)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

12 (SUSE Linux Enterprise High Performance Computing)

от 1.2.8 до 1.8.1 (libssh2)

7.0 (OpenStack Cloud Magnum Orchestration)

11 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 GA (SUSE Linux Enterprise Server for SAP Applications)

11 SP3 LTSS (Suse Linux Enterprise Server)

11 SP4 (Suse Linux Enterprise Server)

12 GA LTSS (Suse Linux Enterprise Server)

12 SP1 LTSS (Suse Linux Enterprise Server)

12 SP2 LTSS (Suse Linux Enterprise Server)

11 SP4 (SUSE Linux Enterprise Software Development Kit)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 GA

Novell Inc. Suse Linux Enterprise Server 11 SP3 LTSS

Novell Inc. Suse Linux Enterprise Server 11 SP4

Novell Inc. Suse Linux Enterprise Server 12 GA LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP1 LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP2 LTSS

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2019-3861/

Для Astra Linux:

Обновление программного обеспечения (пакета libssh2) до 1.7.0-1+deb9u1 или более поздней версии

Для libssh2:

Обновление программного обеспечения до 1.8.1 или более поздней версии

Для ОС Astra Linux 1.6 «Смоленск»:

обновить пакет libssh2 до 1.7.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-3861
CVE

EPSS

Процентиль: 81%

0.01534

Низкий

9.1 Critical

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2019-3861

CVSS3: 5

ubuntu

почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the way SSH packets with a padding length value greater than the packet length are parsed. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.

CVE-2019-3861

CVSS3: 5

redhat

почти 7 лет назад

CVE-2019-3861

CVSS3: 5

nvd

почти 7 лет назад

CVE-2019-3861

CVSS3: 5

debian

почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in t ...

GHSA-j9j4-fcv7-j4w9

CVSS3: 9.1

github

больше 3 лет назад

EPSS

Процентиль: 81%

0.01534

Низкий

9.1 Critical

CVSS3

6.4 Medium

CVSS2