Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03865

Опубликовано: 03 дек. 2018
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость библиотеки libssh2 связана с ошибками обработки несоответствия параметра длины. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации путем подключения к SSH-серверу

Вендор

Red Hat Inc.
ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux
Astra Linux Special Edition
OpenSUSE Leap
Fedora
Debian GNU/Linux
libssh2

Версия ПО

Desktop 7 (Red Hat Enterprise Linux)
Workstation 7 (Red Hat Enterprise Linux)
Server 7 (Red Hat Enterprise Linux)
1.5 «Смоленск» (Astra Linux Special Edition)
42.3 (OpenSUSE Leap)
28 (Fedora)
15.0 (OpenSUSE Leap)
for Scientific Computing 7 (Red Hat Enterprise Linux)
for Power, little endian 7 (Red Hat Enterprise Linux)
for IBM z Systems 7 (Red Hat Enterprise Linux)
8 (Debian GNU/Linux)
от 0.15 до 1.8.0 включительно (libssh2)
for Power, big endian 7 (Red Hat Enterprise Linux)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux Desktop 7
Red Hat Inc. Red Hat Enterprise Linux Workstation 7
Red Hat Inc. Red Hat Enterprise Linux Server 7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Novell Inc. OpenSUSE Leap 42.3
Fedora Project Fedora 28
Novell Inc. OpenSUSE Leap 15.0
Red Hat Inc. Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Inc. Red Hat Enterprise Linux for Power, little endian 7
Red Hat Inc. Red Hat Enterprise Linux for IBM z Systems 7
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Red Hat Inc. Red Hat Enterprise Linux for Power, big endian 7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для libssh2:
https://www.libssh2.org/CVE-2019-3861.html
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html
Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3861
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4431
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%
0.01576
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-3861

CVSS3: 5
ubuntu
почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the way SSH packets with a padding length value greater than the packet length are parsed. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.

redhat логотип

CVE-2019-3861

CVSS3: 5
redhat
почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the way SSH packets with a padding length value greater than the packet length are parsed. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.

nvd логотип

CVE-2019-3861

CVSS3: 5
nvd
почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the way SSH packets with a padding length value greater than the packet length are parsed. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.

debian логотип

CVE-2019-3861

CVSS3: 5
debian
почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in t ...

github логотип

GHSA-j9j4-fcv7-j4w9

CVSS3: 9.1
github
больше 3 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the way SSH packets with a padding length value greater than the packet length are parsed. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.

EPSS

Процентиль: 81%
0.01576
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2