Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00199

Опубликовано: 18 дек. 2023
Источник: fstec
CVSS3: 3.9
CVSS2: 3.2
EPSS Низкий

Описание

Уязвимость компонента ProxyCommand/ProxyJump библиотеки libssh связана с неправильным контролем генерации кода. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

Red Hat Inc.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Fedora Project
АО «НТЦ ИТ РОСА»
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
РЕД ОС
Astra Linux Special Edition
Альт 8 СП
Fedora
ROSA Virtualization
РОСА ХРОМ
АЛЬТ СП 10
libssh
ОСОН ОСнова Оnyx
ROSA Virtualization 3.0

Версия ПО

8 (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
9 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
38 (Fedora)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
0.10.0 (libssh)
0.9.0 (libssh)
0.8.0 (libssh)
до 2.10 (ОСОН ОСнова Оnyx)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Fedora Project Fedora 38
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,2)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для libssh:
https://www.libssh.org/security/advisories/CVE-2023-6004.txt
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-6004
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LZQVUHWVWRH73YBXUQJOD6CKHDQBU3DM/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения libssh до версии 0.9.8-0+deb11u1
Для ОС Astra Linux:
обновить пакет libssh до 0.9.8-0+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет libssh до 0.9.8-0+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2675
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2674
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2776
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2783

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 22%
0.00069
Низкий

3.9 Low

CVSS3

3.2 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20240328-06

CVSS3: 5.3
redos
больше 1 года назад

Множественные уязвимости libssh

ubuntu логотип

CVE-2023-6004

CVSS3: 4.8
ubuntu
больше 1 года назад

A flaw was found in libssh. By utilizing the ProxyCommand or ProxyJump feature, users can exploit unchecked hostname syntax on the client. This issue may allow an attacker to inject malicious code into the command of the features mentioned through the hostname parameter.

redhat логотип

CVE-2023-6004

CVSS3: 4.8
redhat
больше 1 года назад

A flaw was found in libssh. By utilizing the ProxyCommand or ProxyJump feature, users can exploit unchecked hostname syntax on the client. This issue may allow an attacker to inject malicious code into the command of the features mentioned through the hostname parameter.

nvd логотип

CVE-2023-6004

CVSS3: 4.8
nvd
больше 1 года назад

A flaw was found in libssh. By utilizing the ProxyCommand or ProxyJump feature, users can exploit unchecked hostname syntax on the client. This issue may allow an attacker to inject malicious code into the command of the features mentioned through the hostname parameter.

msrc логотип

CVE-2023-6004

CVSS3: 4.8
msrc
5 месяцев назад

Описание отсутствует

EPSS

Процентиль: 22%
0.00069
Низкий

3.9 Low

CVSS3

3.2 Low

CVSS2