BDU:2019-03917
Novell Inc., Red Hat Inc., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Fed Red Hat Enterprise Linux, Fedora, Astra Linux Special Edition, OpenSUSE Leap, libssh2, Debian GNU/Li
2018-12-03
Уязвимость команды SSH_MSG_CHANNEL_REQUEST библиотеки libssh2 связана с записью данных за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем подключения к SSH-серверу
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для libssh2: https://www.libssh2.org/CVE-2019-3857.html
Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.html http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.html
Для программных продуктов Red Hat Inc.: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3857
Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2019/03/msg00032.html
Для программных продуктов Fedora Project: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/
Для Astra Linux: Обновление программного обеспечения (пакета libssh2) до 1.7.0-1+deb9u1 или более поздней версии