Куда я попал?
BDU:2023-03950
CVSS: 9.8
19.07.2023
Уязвимость функции PKCS11 компонента ssh-agent средства криптографической защиты OpenSSH, позволяющая нарушителю выполнить произвольный код
Уязвимость функции PKCS#11 компонента ssh-agent средства криптографической защиты OpenSSH связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
Дата выявления: | 19.07.2023 |
Класс уязвимости: | Уязвимость кода |
Наличие эксплойта: | Существует в открытом доступе |
Способ эксплуатации: | Злоупотребление функционалом |
Способ устранения: | Нет данных |
Меры по устранению: | Использование рекомендаций: Для OpenSSH: https://github.com/openssh/openssh-portable/commit/892506b13654301f69f9545f48213fc210e5c5cc https://github.com/openssh/openssh-portable/commit/1f2731f5d7a8f8a8385c6031667ed29072c0d92a https://github.com/openssh/openssh-portable/commit/29ef8a04866ca14688d5b7fed7b8b9deab851f77 https://github.com/openssh/openssh-portable/commit/099cdf59ce1e72f55d421c8445bf6321b3004755 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-38408 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-38408 Для Ubuntu: https://ubuntu.com/security/notices/USN-6242-1 https://ubuntu.com/security/notices/USN-6242-2 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для РОСА «Кобальт»: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2229 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения openssh до версии 1:9.3p2-1osnova7.onyx Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2222 Для ОС Astra Linux Special Edition 1.7: обновить пакет openssh до 1:8.4p1-2~deb10u1astra6se9+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Astra Linux Special Edition 4.7: обновить пакет openssh до 1:8.4p1-2~deb10u1astra6se9+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47 Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2714 |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор | Описание |
---|---|
CWE-426 | CWE-426 Untrusted Search Path |
CWE-94 | Некорректное управление генерированием кода (внедрение кода) |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор | Описание |
---|---|
CVE-2023-38408 | The PKCS#11 feature in ssh-agent in OpenSSH before 9.3p2 has an insufficiently trustworthy search path, leading to remote cod... |
CVSS
Система общей оценки уязвимостей
Оценка | Severity | Версия | Базовый вектор |
---|---|---|---|
10 | CRITICAL | 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
9.8 | HIGH | 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Идентификаторы других систем описаний уязвимостей
CVE-2023-38408
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.