Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-02721

Опубликовано: 17 окт. 2018
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость библиотеки Paramiko операционных систем Oracle Solaris, Ubuntu, Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Virtualization и консоли управления Red Hat Ansible Tower связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью SSH протокола

Вендор

Canonical Ltd.
ООО «РусБИТех-Астра»
Oracle Corp.
Red Hat Inc.
Сообщество свободного программного обеспечения
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Astra Linux Special Edition
Solaris
Red Hat Enterprise Linux
Debian GNU/Linux
Red Hat Virtualization
Ansible Tower
Paramiko
Astra Linux Special Edition для «Эльбрус»
ОС ОН «Стрелец»

Версия ПО

14.04 LTS (Ubuntu)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
11.4 (Solaris)
Desktop 6.0 (Red Hat Enterprise Linux)
Server 6.0 (Red Hat Enterprise Linux)
Workstation 6.0 (Red Hat Enterprise Linux)
8.0 (Debian GNU/Linux)
12.04 ESM (Ubuntu)
Server AUS 7.6 (Red Hat Enterprise Linux)
Server EUS 7.6 (Red Hat Enterprise Linux)
Server TUS 7.6 (Red Hat Enterprise Linux)
Desktop 7.0 (Red Hat Enterprise Linux)
Server AUS 6.4 (Red Hat Enterprise Linux)
Server AUS 6.5 (Red Hat Enterprise Linux)
Server AUS 6.6 (Red Hat Enterprise Linux)
Server EUS 6.7 (Red Hat Enterprise Linux)
Server TUS 6.6 (Red Hat Enterprise Linux)
Workstation 7.0 (Red Hat Enterprise Linux)
4.0 (Red Hat Virtualization)
3.3 (Ansible Tower)
2.4.1 (Paramiko)
2.3.2 (Paramiko)
2.2.3 (Paramiko)
2.1.5 (Paramiko)
2.0.8 (Paramiko)
1.18.5 (Paramiko)
1.17.6 (Paramiko)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Oracle Corp. Solaris 11.4
Red Hat Inc. Red Hat Enterprise Linux Desktop 6.0
Red Hat Inc. Red Hat Enterprise Linux Server 6.0
Red Hat Inc. Red Hat Enterprise Linux Workstation 6.0
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Canonical Ltd. Ubuntu 12.04 ESM
Red Hat Inc. Red Hat Enterprise Linux Server AUS 7.6
Red Hat Inc. Red Hat Enterprise Linux Server EUS 7.6
Red Hat Inc. Red Hat Enterprise Linux Server TUS 7.6
Red Hat Inc. Red Hat Enterprise Linux Desktop 7.0
Red Hat Inc. Red Hat Enterprise Linux Server AUS 6.4
Red Hat Inc. Red Hat Enterprise Linux Server AUS 6.5
Red Hat Inc. Red Hat Enterprise Linux Server AUS 6.6
Red Hat Inc. Red Hat Enterprise Linux Server EUS 6.7
Red Hat Inc. Red Hat Enterprise Linux Server TUS 6.6
Red Hat Inc. Red Hat Enterprise Linux Workstation 7.0
Red Hat Inc. Red Hat Virtualization 4.0
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Paramiko: обновление программного обеспечения до актуальной версии
Для Ubuntu:
https://usn.ubuntu.com/3796-1/
https://usn.ubuntu.com/3796-2/
https://usn.ubuntu.com/3796-3/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/10/msg00018.html
Для Oracle Solaris:
https://www.oracle.com/technetwork/topics/security/bulletinjul2019-5600410.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2018:3505
https://access.redhat.com/errata/RHSA-2018:3406
https://access.redhat.com/errata/RHSA-2018:3347
https://access.redhat.com/errata/RHBA-2018:3497
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет paramiko до 2.0.0-1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения paramiko до версии 2.0.0-1+deb9u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00407
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-1000805

CVSS3: 8.8
ubuntu
около 7 лет назад

Paramiko version 2.4.1, 2.3.2, 2.2.3, 2.1.5, 2.0.8, 1.18.5, 1.17.6 contains a Incorrect Access Control vulnerability in SSH server that can result in RCE. This attack appear to be exploitable via network connectivity.

redhat логотип

CVE-2018-1000805

CVSS3: 9.8
redhat
около 7 лет назад

Paramiko version 2.4.1, 2.3.2, 2.2.3, 2.1.5, 2.0.8, 1.18.5, 1.17.6 contains a Incorrect Access Control vulnerability in SSH server that can result in RCE. This attack appear to be exploitable via network connectivity.

nvd логотип

CVE-2018-1000805

CVSS3: 8.8
nvd
около 7 лет назад

Paramiko version 2.4.1, 2.3.2, 2.2.3, 2.1.5, 2.0.8, 1.18.5, 1.17.6 contains a Incorrect Access Control vulnerability in SSH server that can result in RCE. This attack appear to be exploitable via network connectivity.

debian логотип

CVE-2018-1000805

CVSS3: 8.8
debian
около 7 лет назад

Paramiko version 2.4.1, 2.3.2, 2.2.3, 2.1.5, 2.0.8, 1.18.5, 1.17.6 con ...

suse-cvrf логотип

openSUSE-SU-2019:0129-1

suse-cvrf
больше 6 лет назад

Security update for python-paramiko

EPSS

Процентиль: 60%
0.00407
Низкий

8.8 High

CVSS3

9 Critical

CVSS2