Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08955

Опубликовано: 18 дек. 2023
Источник: fstec
CVSS3: 6.3
CVSS2: 6.5
EPSS Средний

Описание

Уязвимость реализации протокола SSH cредства криптографической защиты OpenSSH связана с внедрением или модификацией аргумента. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
АО «НТЦ ИТ РОСА»
OpenBSD Project
АО «НППКТ»

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Альт 8 СП
РОСА Кобальт
Astra Linux Common Edition
ROSA Virtualization
РОСА ХРОМ
OpenSSH
ОСОН ОСнова Оnyx
ROSA Virtualization 3.0

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
7.9 (РОСА Кобальт)
1.6 «Смоленск» (Astra Linux Common Edition)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
до 9.6 (OpenSSH)
до 2.10 (ОСОН ОСнова Оnyx)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Программное средство защиты

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «НППКТ» ОСОН ОСнова Оnyx до 2.10
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenSSH:
https://www.openssh.com/txt/release-9.6
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения openssh до версии 1:9.6p1-3osnova9.onyx
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2340
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2662
Для ОС Astra Linux:
обновить пакет openssh до 1:8.4p1-2~deb10u1astra6se14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет openssh до 1:8.4p1-2~deb10u1astra6se14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для ОС Astra Linux:
обновить пакет openssh до 1:7.4p1-10+deb9u9+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-3074
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-3076

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.19753
Средний

6.3 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240319-01

CVSS3: 7.4
redos
больше 2 лет назад

Множественные уязвимости openssh

ubuntu логотип

CVE-2023-51385

CVSS3: 6.5
ubuntu
больше 2 лет назад

In ssh in OpenSSH before 9.6, OS command injection might occur if a user name or host name has shell metacharacters, and this name is referenced by an expansion token in certain situations. For example, an untrusted Git repository can have a submodule with shell metacharacters in a user name or host name.

redhat логотип

CVE-2023-51385

CVSS3: 6.5
redhat
больше 2 лет назад

In ssh in OpenSSH before 9.6, OS command injection might occur if a user name or host name has shell metacharacters, and this name is referenced by an expansion token in certain situations. For example, an untrusted Git repository can have a submodule with shell metacharacters in a user name or host name.

nvd логотип

CVE-2023-51385

CVSS3: 6.5
nvd
больше 2 лет назад

In ssh in OpenSSH before 9.6, OS command injection might occur if a user name or host name has shell metacharacters, and this name is referenced by an expansion token in certain situations. For example, an untrusted Git repository can have a submodule with shell metacharacters in a user name or host name.

msrc логотип

CVE-2023-51385

CVSS3: 6.5
msrc
больше 2 лет назад

Описание отсутствует

EPSS

Процентиль: 97%
0.19753
Средний

6.3 Medium

CVSS3

6.5 Medium

CVSS2