Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03867

Опубликовано: 03 дек. 2018
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость функций _libssh2_packet_require и _libssh2_packet_requirev библиотеки libssh2 связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации путем подключения к SSH-серверу

Вендор

ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition
OpenSUSE Leap
Fedora
Debian GNU/Linux
libssh2

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)
42.3 (OpenSUSE Leap)
28 (Fedora)
1.6 «Смоленск» (Astra Linux Special Edition)
29 (Fedora)
15.0 (OpenSUSE Leap)
8 (Debian GNU/Linux)
от 0.1 до 1.8.0 включительно (libssh2)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Novell Inc. OpenSUSE Leap 42.3
Fedora Project Fedora 28
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Fedora Project Fedora 29
Novell Inc. OpenSUSE Leap 15.0
Сообщество свободного программного обеспечения Debian GNU/Linux 8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для libssh2:
https://www.libssh2.org/CVE-2019-3859.html
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00102.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00103.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
https://lists.debian.org/debian-lts-announce/2019/04/msg00006.html
https://lists.debian.org/debian-lts-announce/2019/07/msg00024.html
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XCWEA5ZCLKRDUK62QVVYMFWLWKOPX3LO/
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет libssh2 до 1.7.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00882
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-3859

CVSS3: 9.1
ubuntu
почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the _libssh2_packet_require and _libssh2_packet_requirev functions. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.

redhat логотип

CVE-2019-3859

CVSS3: 5
redhat
почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the _libssh2_packet_require and _libssh2_packet_requirev functions. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.

nvd логотип

CVE-2019-3859

CVSS3: 9.1
nvd
почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the _libssh2_packet_require and _libssh2_packet_requirev functions. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.

debian логотип

CVE-2019-3859

CVSS3: 9.1
debian
почти 7 лет назад

An out of bounds read flaw was discovered in libssh2 before 1.8.1 in t ...

suse-cvrf логотип

openSUSE-SU-2019:1291-1

suse-cvrf
почти 7 лет назад

Security update for libssh2_org

EPSS

Процентиль: 75%
0.00882
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2