Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06638

Опубликовано: 04 апр. 2017
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость библиотеки SSH (x/crypto/ssh) языка программирования Go связана с ошибками шифрования данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «человек посередине»

Вендор

Сообщество свободного программного обеспечения
IBM Corp.
The Go Project
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
IBM CICS TX Standard
crypto
ОС ОН «Стрелец»

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
11.1 (IBM CICS TX Standard)
до 2017-03-17 включительно (crypto)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Сетевое средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для SSH (x/crypto/ssh):
https://github.com/golang/crypto/commit/e4e2799dd7aab89f583e1d898300d96367750991
https://github.com/golang/go/issues/19767
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2017-3204
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6833248
Для ОС ОН «Стрелец»:
Обновление программного обеспечения golang-go.crypto до версии 1:0.0~git20181203.505ab14-1
Обновление программного обеспечения golang-github-spf13-jwalterweatherman до версии 1.1.0+really1.0.0+git20181028.94f6ae3-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01811
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-3204

CVSS3: 8.1
ubuntu
почти 9 лет назад

The Go SSH library (x/crypto/ssh) by default does not verify host keys, facilitating man-in-the-middle attacks. Default behavior changed in commit e4e2799 to require explicitly registering a hostkey verification mechanism.

redhat логотип

CVE-2017-3204

CVSS3: 4.8
redhat
почти 9 лет назад

The Go SSH library (x/crypto/ssh) by default does not verify host keys, facilitating man-in-the-middle attacks. Default behavior changed in commit e4e2799 to require explicitly registering a hostkey verification mechanism.

nvd логотип

CVE-2017-3204

CVSS3: 8.1
nvd
почти 9 лет назад

The Go SSH library (x/crypto/ssh) by default does not verify host keys, facilitating man-in-the-middle attacks. Default behavior changed in commit e4e2799 to require explicitly registering a hostkey verification mechanism.

debian логотип

CVE-2017-3204

CVSS3: 8.1
debian
почти 9 лет назад

The Go SSH library (x/crypto/ssh) by default does not verify host keys ...

github логотип

GHSA-xhjq-w7xm-p8qj

CVSS3: 8.1
github
около 3 лет назад

golang.org/x/crypto/ssh Man-in-the-Middle attack

EPSS

Процентиль: 82%
0.01811
Низкий

8.1 High

CVSS3

7.6 High

CVSS2