Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08649

Опубликовано: 15 нояб. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость класса org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider java-библиотеки для поддержки SSH-протоколов Apache SSHD связана с недостатками механизма десериализации.Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Red Hat Inc.
Novell Inc.
SonarSource
Apache Software Foundation

Наименование ПО

Red Hat JBoss Fuse
OpenShift Application Runtimes
Red Hat Single Sign-On
Red Hat Descision Manager
openSUSE Tumbleweed
Red Hat OpenStack Platform
Red Hat JBoss Data Grid
Red Hat Virtualization Engine
Red Hat Virtualization
Red Hat build of Quarkus
Red Hat Integration Camel Quarkus
Red Hat JBoss Fuse Service Works
Red Hat OpenShift Container Platform
Red Hat Enterprise Linux
Migration Toolkit for Applications
Migration Toolkit for Runtimes
Red Hat JBoss Enterprise Application Platform
OpenShift Developer Tools and Services for OCP
SonarQube
Red Hat Process Automation Manager
Red Hat Integration Camel for Spring Boot
Red Hat Data Grid
SSHD

Версия ПО

7 (Red Hat JBoss Fuse)
- (OpenShift Application Runtimes)
7 (Red Hat Single Sign-On)
6 (Red Hat JBoss Fuse)
7 (Red Hat Descision Manager)
- (openSUSE Tumbleweed)
13.0 (Queens) (Red Hat OpenStack Platform)
7 (Red Hat JBoss Data Grid)
4.4 (Red Hat Virtualization Engine)
4 for RHEL 8 (Red Hat Virtualization)
- (Red Hat build of Quarkus)
- (Red Hat Integration Camel Quarkus)
6 (Red Hat JBoss Fuse Service Works)
3.11 (Red Hat OpenShift Container Platform)
4.10 (Red Hat OpenShift Container Platform)
4.9 (Red Hat OpenShift Container Platform)
8 based Middleware Containers (Red Hat Enterprise Linux)
6 (Migration Toolkit for Applications)
- (Migration Toolkit for Runtimes)
7 (Red Hat JBoss Enterprise Application Platform)
4.11 (OpenShift Developer Tools and Services for OCP)
7.6 for RHEL 7 (Red Hat Single Sign-On)
7.6 for RHEL 8 (Red Hat Single Sign-On)
7.6 for RHEL 9 (Red Hat Single Sign-On)
9.3.3 (SonarQube)
7.13.4 (Red Hat Process Automation Manager)
6 (Red Hat JBoss Enterprise Application Platform)
7.4 for RHEL 8 (Red Hat JBoss Enterprise Application Platform)
7.4 for RHEL 9 (Red Hat JBoss Enterprise Application Platform)
7.4 on RHEL 7 (Red Hat JBoss Enterprise Application Platform)
3.18.3.P2 (Red Hat Integration Camel for Spring Boot)
2.7.6.SP3 (Red Hat build of Quarkus)
8.4.1 (Red Hat Data Grid)
4.12 (OpenShift Developer Tools and Services for OCP)
8.4.4 (Red Hat Data Grid)
до 2.9.1 включительно (SSHD)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
Операционная система
ПО программно-аппаратного средства
Сетевое средство
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Red Hat Inc. Red Hat Enterprise Linux 8 based Middleware Containers

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://www.mail-archive.com/dev%40mina.apache.org/msg39312.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-45047
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-45047.html
Для программных продуктов SonarSource:
Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.05071
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2022-45047

CVSS3: 9.8
redhat
около 3 лет назад

Class org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider in Apache MINA SSHD <= 2.9.1 uses Java deserialization to load a serialized java.security.PrivateKey. The class is one of several implementations that an implementor using Apache MINA SSHD can choose for loading the host keys of an SSH server.

nvd логотип

CVE-2022-45047

CVSS3: 9.8
nvd
около 3 лет назад

Class org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider in Apache MINA SSHD <= 2.9.1 uses Java deserialization to load a serialized java.security.PrivateKey. The class is one of several implementations that an implementor using Apache MINA SSHD can choose for loading the host keys of an SSH server.

debian логотип

CVE-2022-45047

CVSS3: 9.8
debian
около 3 лет назад

Class org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvide ...

github логотип

GHSA-fhw8-8j55-vwgq

CVSS3: 9.8
github
около 3 лет назад

Unsafe deserialization in Apache MINA SSHD

suse-cvrf логотип

SUSE-SU-2024:0224-1

suse-cvrf
около 2 лет назад

Security update for apache-parent, apache-sshd

EPSS

Процентиль: 90%
0.05071
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2