Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03837

Опубликовано: 26 сент. 2021
Источник: fstec
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость средства криптографической защиты OpenSSH связана с небезопасным управлением привилегиями. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО «ИВК»
АО "НППКТ"
OpenBSD Project
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Debian GNU/Linux
Astra Linux Special Edition
Альт 8 СП
ОСОН ОСнова Оnyx
OpenSSH
ОС ОН «Стрелец»

Версия ПО

14.04 (Ubuntu)
18.04 LTS (Ubuntu)
10 (Debian GNU/Linux)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
до 2.3 (ОСОН ОСнова Оnyx)
от 6.2 до 8.8 (OpenSSH)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Программное средство защиты

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04
Canonical Ltd. Ubuntu 18.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.3
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Для OpenSSH:
использование рекомендаций производителя: https://www.openssh.com/txt/release-8.8
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-41617
Для Ubuntu:
https://ubuntu.com/security/CVE-2021-41617
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openssh до версии 1:7.9p1-10+deb10u2.osnova4
Для ОС ОН «Стрелец»:
Обновление программного обеспечения openssh до версии 1:7.9p1-10+deb10u2.osnova4.strelets
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01864
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-41617

CVSS3: 7
ubuntu
почти 4 года назад

sshd in OpenSSH 6.2 through 8.x before 8.8, when certain non-default configurations are used, allows privilege escalation because supplemental groups are not initialized as expected. Helper programs for AuthorizedKeysCommand and AuthorizedPrincipalsCommand may run with privileges associated with group memberships of the sshd process, if the configuration specifies running the command as a different user.

redhat логотип

CVE-2021-41617

CVSS3: 7
redhat
почти 4 года назад

sshd in OpenSSH 6.2 through 8.x before 8.8, when certain non-default configurations are used, allows privilege escalation because supplemental groups are not initialized as expected. Helper programs for AuthorizedKeysCommand and AuthorizedPrincipalsCommand may run with privileges associated with group memberships of the sshd process, if the configuration specifies running the command as a different user.

nvd логотип

CVE-2021-41617

CVSS3: 7
nvd
почти 4 года назад

sshd in OpenSSH 6.2 through 8.x before 8.8, when certain non-default configurations are used, allows privilege escalation because supplemental groups are not initialized as expected. Helper programs for AuthorizedKeysCommand and AuthorizedPrincipalsCommand may run with privileges associated with group memberships of the sshd process, if the configuration specifies running the command as a different user.

msrc логотип

CVE-2021-41617

CVSS3: 7
msrc
почти 4 года назад

Описание отсутствует

debian логотип

CVE-2021-41617

CVSS3: 7
debian
почти 4 года назад

sshd in OpenSSH 6.2 through 8.x before 8.8, when certain non-default c ...

EPSS

Процентиль: 82%
0.01864
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2