Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-03494

Опубликовано: 29 июн. 2020
Источник: fstec
CVSS3: 5.9
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость средства криптографической защиты OpenSSH связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию в результате кэширования ключа хоста для сервера

Вендор

Canonical Ltd.
Novell Inc.
OpenBSD Project
ООО «РусБИТех-Астра»

Наименование ПО

Ubuntu
Suse Linux Enterprise Server
OpenSSH
Astra Linux Special Edition

Версия ПО

14.04 (Ubuntu)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP2-ESPOS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
12 SP3-LTSS (Suse Linux Enterprise Server)
14.04 ESM (Ubuntu)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP3-ESPOS (Suse Linux Enterprise Server)
15-LTSS (Suse Linux Enterprise Server)
20.04 LTS (Ubuntu)
12 SP4 LTSS (Suse Linux Enterprise Server)
12 SP4-ESPOS (Suse Linux Enterprise Server)
16.04 ESM (Ubuntu)
от 5.7 до 8.4 включительно (OpenSSH)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
18.04 ESM (Ubuntu)

Тип ПО

Операционная система
Программное средство защиты

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Canonical Ltd. Ubuntu 14.04 ESM
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Canonical Ltd. Ubuntu 16.04 ESM
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 18.04 ESM

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Обновление средства криптографической защиты OpenSSH до актуальной версии
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-14145/
Для Ubuntu:
https://ubuntu.com/security/CVE-2020-14145
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20200709-0004/
Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.01254
Низкий

5.9 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-14145

CVSS3: 5.9
ubuntu
больше 5 лет назад

The client side in OpenSSH 5.7 through 8.4 has an Observable Discrepancy leading to an information leak in the algorithm negotiation. This allows man-in-the-middle attackers to target initial connection attempts (where no host key for the server has been cached by the client). NOTE: some reports state that 8.5 and 8.6 are also affected.

redhat логотип

CVE-2020-14145

CVSS3: 5.9
redhat
больше 5 лет назад

The client side in OpenSSH 5.7 through 8.4 has an Observable Discrepancy leading to an information leak in the algorithm negotiation. This allows man-in-the-middle attackers to target initial connection attempts (where no host key for the server has been cached by the client). NOTE: some reports state that 8.5 and 8.6 are also affected.

nvd логотип

CVE-2020-14145

CVSS3: 5.9
nvd
больше 5 лет назад

The client side in OpenSSH 5.7 through 8.4 has an Observable Discrepancy leading to an information leak in the algorithm negotiation. This allows man-in-the-middle attackers to target initial connection attempts (where no host key for the server has been cached by the client). NOTE: some reports state that 8.5 and 8.6 are also affected.

msrc логотип

CVE-2020-14145

CVSS3: 5.9
msrc
больше 5 лет назад

Описание отсутствует

debian логотип

CVE-2020-14145

CVSS3: 5.9
debian
больше 5 лет назад

The client side in OpenSSH 5.7 through 8.4 has an Observable Discrepan ...

EPSS

Процентиль: 79%
0.01254
Низкий

5.9 Medium

CVSS3

7.1 High

CVSS2