Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03331

Опубликовано: 03 дек. 2018
Источник: fstec
CVSS3: 8.8
CVSS2: 9.3
EPSS Средний

Описание

Уязвимость функции _libssh2_transport_read (src/transport.c) библиотеки libssh2 связана с целочисленным переполнением при чтении пакетов с сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью скомпрометированного сервера SSH

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
libssh2

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
до 1.8.1 (libssh2)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для libssh2:
Обновление программного обеспечения до 1.8.1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета libssh2) до 1.7.0-1+deb9u1 или более поздней версии
Для Astra Linux использование рекомендаций, приведенных в бюллетене № 20190912SE16:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.12496
Средний

8.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-3855

CVSS3: 8.8
ubuntu
около 6 лет назад

An integer overflow flaw which could lead to an out of bounds write was discovered in libssh2 before 1.8.1 in the way packets are read from the server. A remote attacker who compromises a SSH server may be able to execute code on the client system when a user connects to the server.

redhat логотип

CVE-2019-3855

CVSS3: 7.5
redhat
больше 6 лет назад

An integer overflow flaw which could lead to an out of bounds write was discovered in libssh2 before 1.8.1 in the way packets are read from the server. A remote attacker who compromises a SSH server may be able to execute code on the client system when a user connects to the server.

nvd логотип

CVE-2019-3855

CVSS3: 8.8
nvd
около 6 лет назад

An integer overflow flaw which could lead to an out of bounds write was discovered in libssh2 before 1.8.1 in the way packets are read from the server. A remote attacker who compromises a SSH server may be able to execute code on the client system when a user connects to the server.

debian логотип

CVE-2019-3855

CVSS3: 8.8
debian
около 6 лет назад

An integer overflow flaw which could lead to an out of bounds write wa ...

github логотип

GHSA-hhcg-w86v-64g8

CVSS3: 8.8
github
около 3 лет назад

An integer overflow flaw which could lead to an out of bounds write was discovered in libssh2 before 1.8.1 in the way packets are read from the server. A remote attacker who compromises a SSH server may be able to execute code on the client system when a user connects to the server.

EPSS

Процентиль: 94%
0.12496
Средний

8.8 High

CVSS3

9.3 Critical

CVSS2

Уязвимость BDU:2019-03331