BDU:2019-03867
Fedora Project, Novell Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения Fedora, Astra Linux Special Edition, Debian GNU/Linux, libssh2, OpenSUSE Leap
2018-12-03
Уязвимость функций _libssh2_packet_require и _libssh2_packet_requirev библиотеки libssh2 связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации путем подключения к SSH-серверу
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для libssh2: https://www.libssh2.org/CVE-2019-3859.html
Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00102.html http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00103.html
Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html https://lists.debian.org/debian-lts-announce/2019/04/msg00006.html https://lists.debian.org/debian-lts-announce/2019/07/msg00024.html
Для программных продуктов Fedora Project: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XCWEA5ZCLKRDUK62QVVYMFWLWKOPX3LO/
Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Для ОС Astra Linux 1.6 «Смоленск»: обновить пакет libssh2 до 1.7.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186