Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01897

Опубликовано: 28 мар. 2022
Источник: fstec
CVSS3: 4.3
CVSS2: 4
EPSS Низкий

Описание

Уязвимость реализации протокола SSHv2 библиотеки Paramiko связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, получить доступ к конфиденциальной информации

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Fedora Project
ООО «Ред Софт»
ФССП России
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Astra Linux Special Edition для «Эльбрус»
Fedora
РЕД ОС
ОС ТД АИС ФССП России
Paramiko
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
34 (Fedora)
35 (Fedora)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
36 (Fedora)
до 2.10.1 (Paramiko)
4.7 (Astra Linux Special Edition)
до 2.6 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 34
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
Fedora Project Fedora 36
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Paramiko:
Обновление программного обеспечения до версии 2.10.1 и выше
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2022/03/msg00032.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LUEUEGILZ7MQXRSUF5VMMO4SWJQVPTQL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TPMKRUS4HO3P7NR7P4Y6CLHB4MBEE3AI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U63MJ2VOLLQ35R7CYNREUHSXYLWNPVSB/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения paramiko до версии 2.4.2-0.1+deb10u1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет paramiko до 2.0.0-1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения paramiko до версии 2.0.0-1+deb9u2
Для ОС Astra Linux:
обновить пакет paramiko до 2.6.0-2ubuntu0.3+ci202407031722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет paramiko до 2.6.0-2ubuntu0.3+ci202407031722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 76%
0.01003
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-24302

CVSS3: 5.9
ubuntu
больше 3 лет назад

In Paramiko before 2.10.1, a race condition (between creation and chmod) in the write_private_key_file function could allow unauthorized information disclosure.

redhat логотип

CVE-2022-24302

CVSS3: 5.1
redhat
больше 3 лет назад

In Paramiko before 2.10.1, a race condition (between creation and chmod) in the write_private_key_file function could allow unauthorized information disclosure.

nvd логотип

CVE-2022-24302

CVSS3: 5.9
nvd
больше 3 лет назад

In Paramiko before 2.10.1, a race condition (between creation and chmod) in the write_private_key_file function could allow unauthorized information disclosure.

debian логотип

CVE-2022-24302

CVSS3: 5.9
debian
больше 3 лет назад

In Paramiko before 2.10.1, a race condition (between creation and chmo ...

suse-cvrf логотип

SUSE-SU-2022:1447-1

suse-cvrf
больше 3 лет назад

Security update for python-paramiko

EPSS

Процентиль: 76%
0.01003
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2