BDU:2019-03795

Опубликовано: 18 мар. 2019

Источник: fstec

CVSS3: 8.8

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость бибиотеки libssh2 связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действющему удаленно, вызвать отказ в обслуживании, выполнить произвольный код или раскрыть защищаемую информацию

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

Novell Inc.

Fedora Project

Oracle Corp.

ООО «РусБИТех-Астра»

NetApp Inc.

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

OpenSUSE Leap

Fedora

PeopleSoft Enterprise PeopleTools

Astra Linux Special Edition

Suse Linux Enterprise Desktop

SUSE Enterprise Storage

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE OpenStack Cloud

Suse Linux Enterprise Server

SUSE CaaS Platform

SUSE Linux Enterprise Point of Sale

OpenStack Cloud Magnum Orchestration

libssh2

Red Hat Enterprise Virtualization

ONTAP Select Deploy

Версия ПО

6 (Red Hat Enterprise Linux)

7 (Red Hat Enterprise Linux)

9 (Debian GNU/Linux)

42.3 (OpenSUSE Leap)

28 (Fedora)

8.56 (PeopleSoft Enterprise PeopleTools)

8.57 (PeopleSoft Enterprise PeopleTools)

1.6 «Смоленск» (Astra Linux Special Edition)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

4 (SUSE Enterprise Storage)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

7 (SUSE OpenStack Cloud)

8.0 (Debian GNU/Linux)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

11 SP4 (Suse Linux Enterprise Server)

11 SP4 (SUSE Linux Enterprise Software Development Kit)

8 (Red Hat Enterprise Linux)

15.0 (OpenSUSE Leap)

3.0 (SUSE CaaS Platform)

12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

11 SP3 (SUSE Linux Enterprise Point of Sale)

12-LTSS (Suse Linux Enterprise Server)

11 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP2-LTSS (Suse Linux Enterprise Server)

7 (OpenStack Cloud Magnum Orchestration)

до 1.8.1 (libssh2)

4 (Red Hat Enterprise Virtualization)

6 (Red Hat Enterprise Virtualization)

- (ONTAP Select Deploy)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6

Red Hat Inc. Red Hat Enterprise Linux 7

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Novell Inc. OpenSUSE Leap 42.3

Fedora Project Fedora 28

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. OpenSUSE Leap 15.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

Для libssh2:

https://www.libssh2.org/CVE-2019-3863.html

Для программных продуктов Oracle Corp.:

https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

https://www.oracle.com/security-alerts/cpuoct2019.html

Для Red Hat Enterprise Linux:

https://access.redhat.com/security/cve/CVE-2019-3863?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW

Для Debian GNU/Linux:

https://www.debian.org/security/2019/dsa-4431

Для программных продуктов NetApp Inc.:

https://security.netapp.com/advisory/ntap-20190327-0005/

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2019-3863/

https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html

Для программных продуктов Fedora Project:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/

Для ОС Astra Linux 1.6 «Смоленск»:

обновить пакет libssh2 до 1.7.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-3863
CVE

EPSS

Процентиль: 93%

0.09733

Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2019-3863

CVSS3: 7.5

ubuntu

около 6 лет назад

A flaw was found in libssh2 before 1.8.1. A server could send a multiple keyboard interactive response messages whose total length are greater than unsigned char max characters. This value is used as an index to copy memory causing in an out of bounds memory write error.

CVE-2019-3863

CVSS3: 7.5

redhat

больше 6 лет назад

CVE-2019-3863

CVSS3: 7.5

nvd

около 6 лет назад

CVE-2019-3863

CVSS3: 7.5

debian

около 6 лет назад

A flaw was found in libssh2 before 1.8.1. A server could send a multip ...

GHSA-h63q-2463-x5hq

CVSS3: 8.8

github

около 3 лет назад

EPSS

Процентиль: 93%

0.09733

Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2