BDU:2019-00773
Canonical Ltd., Red Hat Inc., OpenBSD Project, Сообщество свободного программного обеспечения, АО «Н Astra Linux Special Edition для «Эльбрус», Red Hat Enterprise Linux, Astra Linux Common Edition, PAN
2018-10-16
Уязвимость средства криптографической защиты OpenSSH вызвана ошибками при проверке имени каталога scp.c в клиенте scp. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить права доступа к целевому каталогу используя имя файла «.» или пустое имя файла
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для средства криптографической защиты OpenSSH использование рекомендаций: https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/scp.c.diff?r1=1.197&r2=1.198&f=h Обновление программного обеспечения до 1:7.9p1-6 или более поздней версии
Для Solaris: https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Для Ubuntu: https://usn.ubuntu.com/3885-1/
Для Debian GNU/Linux: https://www.debian.org/security/2019/dsa-4387
Для Red Hat Enterprise Linux: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-20685
Для Debian: Обновление программного обеспечения (пакета openssh) до 1:7.4p1-10+deb9u5 или более поздней версии
Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Для PAN-OS: https://security.paloaltonetworks.com/PAN-SA-2020-0002
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2551
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2551