Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00574

Опубликовано: 20 янв. 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 10
EPSS Низкий

Описание

Уязвимость библиотеки libssh2 реализации методов Git на языке C Libgit2 связана с ошибками проверки криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «человек посередине»

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Libgit2
РОСА ХРОМ
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 1.4.5 (Libgit2)
от 1.5.0 до 1.5.1 (Libgit2)
12.4 (РОСА ХРОМ)
до 2.11 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Libgit2:
https://github.com/libgit2/libgit2/commit/42e5db98b963ae503229c63e44e06e439df50e56
https://github.com/libgit2/libgit2/commit/cd6f679af401eda1f172402006ef8265f8bd58ea
https://github.com/libgit2/libgit2/releases/tag/v1.4.5
https://github.com/libgit2/libgit2/releases/tag/v1.5.1
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-22742
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-22742
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2235
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения libgit2 до версии 1.7.2+ds-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 38%
0.00162
Низкий

5.3 Medium

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240729-05

CVSS3: 5.3
redos
11 месяцев назад

Уязвимость libgit2

ubuntu логотип

CVE-2023-22742

CVSS3: 5.3
ubuntu
больше 2 лет назад

libgit2 is a cross-platform, linkable library implementation of Git. When using an SSH remote with the optional libssh2 backend, libgit2 does not perform certificate checking by default. Prior versions of libgit2 require the caller to set the `certificate_check` field of libgit2's `git_remote_callbacks` structure - if a certificate check callback is not set, libgit2 does not perform any certificate checking. This means that by default - without configuring a certificate check callback, clients will not perform validation on the server SSH keys and may be subject to a man-in-the-middle attack. Users are encouraged to upgrade to v1.4.5 or v1.5.1. Users unable to upgrade should ensure that all relevant certificates are manually checked.

redhat логотип

CVE-2023-22742

CVSS3: 5.3
redhat
больше 2 лет назад

libgit2 is a cross-platform, linkable library implementation of Git. When using an SSH remote with the optional libssh2 backend, libgit2 does not perform certificate checking by default. Prior versions of libgit2 require the caller to set the `certificate_check` field of libgit2's `git_remote_callbacks` structure - if a certificate check callback is not set, libgit2 does not perform any certificate checking. This means that by default - without configuring a certificate check callback, clients will not perform validation on the server SSH keys and may be subject to a man-in-the-middle attack. Users are encouraged to upgrade to v1.4.5 or v1.5.1. Users unable to upgrade should ensure that all relevant certificates are manually checked.

nvd логотип

CVE-2023-22742

CVSS3: 5.3
nvd
больше 2 лет назад

libgit2 is a cross-platform, linkable library implementation of Git. When using an SSH remote with the optional libssh2 backend, libgit2 does not perform certificate checking by default. Prior versions of libgit2 require the caller to set the `certificate_check` field of libgit2's `git_remote_callbacks` structure - if a certificate check callback is not set, libgit2 does not perform any certificate checking. This means that by default - without configuring a certificate check callback, clients will not perform validation on the server SSH keys and may be subject to a man-in-the-middle attack. Users are encouraged to upgrade to v1.4.5 or v1.5.1. Users unable to upgrade should ensure that all relevant certificates are manually checked.

msrc логотип

CVE-2023-22742

CVSS3: 5.9
msrc
12 месяцев назад

Описание отсутствует

EPSS

Процентиль: 38%
0.00162
Низкий

5.3 Medium

CVSS3

10 Critical

CVSS2