Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2016-00819

CVSS: 5.5

22.03.2016

Уязвимости средства криптографической защиты OpenSSH, позволяющие нарушителю обойти ограничения интерпретатора команд

Множественные уязвимости функции session.c (sshd) средства криптографической защиты OpenSSH существуют из-за неприятия мер по нейтрализации последовательностей CRLF (возврат каретки с переводом строки). Эксплуатация уязвимостей может позволить нарушителю, действующему удалённо, обойти ограничения интерпретатора команд с помощью специального сформированных X11 данных, связанных с функциями do_authenticated1 и session_x11_req

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	22.03.2016
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Данные уточняются
Способ устранения:	Нет данных
Меры по устранению:	Обновление программного средства до версии 7.2p2 Для Juniper Networks Inc.: https://kb.juniper.net/InfoCenter/index?page=content&;id=JSA11176&cat=SIRT_1&actp=LIST&showDraft=false Для Oracle Corp.: http://www.oracle.com/technetwork/topics/security/linuxbulletinjul2016-3090544.html http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html Для Debian GNU/Linux: https://www.debian.org/security/2016/dsa-3593 Для Ubuntu: https://ubuntu.com/security/CVE-2016-3115 Fedora Project: http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183101.html http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183122.html http://lists.fedoraproject.org/pipermail/package-announce/2016-March/178838.html http://lists.fedoraproject.org/pipermail/package-announce/2016-March/179924.html http://lists.fedoraproject.org/pipermail/package-announce/2016-March/180491.html http://lists.fedoraproject.org/pipermail/package-announce/2016-May/184264.html

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-93	CWE-93 CRLF Injection

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2016-3115	Multiple CRLF injection vulnerabilities in session.c in sshd in OpenSSH before 7.2p2 allow remote authenticated users to bypa...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
5.5	MEDIUM	2.0	AV:N/AC:L/Au:S/C:P/I:P/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2016-3115 Exploit Database ID:39569

Вендор:	OpenBSD Project Fedora Project Canonical Ltd. Red Hat Inc. Сообщество свободного программного обеспечения Juniper Networks Inc.
Тип ПО:	Программное средство защиты Операционная система Сетевое программное средство
Наименование ПО:	OpenSSH Fedora Ubuntu Red Hat Enterprise Linux Server Debian GNU/Linux Junos Space
Версия ПО:	до 7.2p2 (OpenSSH) 22 (Fedora) 23 (Fedora) 12.04 (Ubuntu) 16.04 (Ubuntu) 6 (Red Hat Enterprise Linux Server) 7 (Red Hat Enterprise Linux Server) 8.0 (Debian GNU/Linux) 15.10 (Ubuntu) 14.04 ESM (Ubuntu) 24 (Fedora) до 21.1R1 (Junos Space) 5 (Red Hat Enterprise Linux Server)
ОС и аппаратные платформы:	Linux (.) Mac OS (X) Solaris (.) AIX (.) HP-UX (.) FreeBSD (.) NetBSD (.) OpenBSD (.) SCO (.) Cygwin (.) Fedora (22) Fedora (23) Ubuntu (12.04) Ubuntu (16.04) Red Hat Enterprise Linux Server (6) Red Hat Enterprise Linux Server (7) Debian GNU/Linux (8.0) Ubuntu (15.10) Ubuntu (14.04 ESM) Fedora (24) Red Hat Enterprise Linux Server (5)
Ссылки на источники:	http://www.openssh.com/txt/x11fwd.adv http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/session.c.diff?r1=1.281&r2=1.282&f=h http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/session.c https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11176&cat=SIRT_1&actp=LIST&showDraft=false http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183101.html http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183122.html http://lists.fedoraproject.org/pipermail/package-announce/2016-March/178838.html http://lists.fedoraproject.org/pipermail/package-announce/2016-March/179924.html http://lists.fedoraproject.org/pipermail/package-announce/2016-March/180491.html http://lists.fedoraproject.org/pipermail/package-announce/2016-May/184264.html

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2016-00819