Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2019-03331

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2019-03331
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2019-03331

CVSS: 8.8
03.12.2018

Уязвимость функции _libssh2_transport_read (src/transport.c) библиотеки libssh2, позволяющая нарушителю выполнить произвольный код

Уязвимость функции _libssh2_transport_read (src/transport.c) библиотеки libssh2 связана с целочисленным переполнением при чтении пакетов с сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью скомпрометированного сервера SSH
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 03.12.2018
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Данные уточняются
Способ эксплуатации: Манипулирование структурами данных
Способ устранения: Нет данных
Меры по устранению: Для libssh2:

Обновление программного обеспечения до 1.8.1 или более поздней версии



Для Debian:

Обновление программного обеспечения (пакета libssh2) до 1.7.0-1+deb9u1 или более поздней версии



Для Astra Linux использование рекомендаций, приведенных в бюллетене № 20190912SE16:

https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-190 Целочисленное переполнение или циклический возврат

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2019-3855 An integer overflow flaw which could lead to an out of bounds write was discovered in libssh2 before 1.8.1 in the way packets...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
9.3 HIGH 2.0 AV:N/AC:M/Au:N/C:C/I:C/A:C
8.8 HIGH 3.0 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2019-3855
Вендор:
  • ООО «РусБИТех-Астра»
  • Сообщество свободного программного обеспечения
Тип ПО:
  • Операционная система
  • Прикладное ПО информационных систем
Наименование ПО:
  • Astra Linux Special Edition
  • Debian GNU/Linux
  • libssh2
Версия ПО:
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 9 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • до 1.8.1 (libssh2)
ОС и аппаратные платформы:
  • Astra Linux Special Edition (1.5 «Смоленск»)
  • Debian GNU/Linux (9)
  • Astra Linux Special Edition (1.6 «Смоленск»)
  • Debian GNU/Linux (8.0)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.