Идентификатор: BDU:2019-02721.
Наименование уязвимости: Уязвимость библиотеки Paramiko операционных систем Oracle Solaris, Ubuntu, Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Virtualization и консоли управления Red Hat Ansible Tower, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость библиотеки Paramiko операционных систем Oracle Solaris, Ubuntu, Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Virtualization и консоли управления Red Hat Ansible Tower связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью SSH протокола
Уязвимое ПО: Операционная система Canonical Ltd. Ubuntu 14.04 LTS | Операционная система Canonical Ltd. Ubuntu 16.04 LTS | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Canonical Ltd. Ubuntu 18.10 | Операционная система Oracle Corp. Solaris 11.4 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Desktop 6.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server 6.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Workstation 6.0 | Операционная система Debian GNU/Linux 8.0 | Операционная система Canonical Ltd. Ubuntu 12.04 ESM | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 7.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server EUS 7.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server TUS 7.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Desktop 7.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 6.4 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 6.5 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 6.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server EUS 6.7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server TUS 6.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Workstation 7.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Red Hat Inc. Red Hat Virtualization 4.0 | Сетевое программное средство Red Hat Inc. Ansible Tower 3.3 | Прикладное ПО информационных систем Paramiko 2.4.1 | Прикладное ПО информационных систем Paramiko 2.3.2 | Прикладное ПО информационных систем Paramiko 2.2.3 | Прикладное ПО информационных систем Paramiko 2.1.5 | Прикладное ПО информационных систем Paramiko 2.0.8 | Прикладное ПО информационных систем Paramiko 1.18.5 | Прикладное ПО информационных систем Paramiko 1.17.6 |
Наименование ОС и тип аппаратной платформы: Ubuntu 1404 LTS | Ubuntu 1604 LTS | Ubuntu 1804 LTS | Ubuntu 1810 | Solaris 114 | Red Hat Enterprise Linux Desktop 60 | Red Hat Enterprise Linux Server 60 | Red Hat Enterprise Linux Workstation 60 | Debian GNU/Linux 80 | Ubuntu 1204 ESM | Red Hat Enterprise Linux Server AUS 76 | Red Hat Enterprise Linux Server EUS 76 | Red Hat Enterprise Linux Server TUS 76 | Red Hat Enterprise Linux Desktop 70 | Red Hat Enterprise Linux Server AUS 64 | Red Hat Enterprise Linux Server AUS 65 | Red Hat Enterprise Linux Server AUS 66 | Red Hat Enterprise Linux Server EUS 67 | Red Hat Enterprise Linux Server TUS 66 | Red Hat Enterprise Linux Workstation 70 | Red Hat Virtualization 40 |
Дата выявления: 17.10.2018.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению:
Использование рекомендаций:
Для Paramiko: обновление программного обеспечения до актуальной версии
Для Ubuntu:
https://usn.ubuntu.com/3796-1/
https://usn.ubuntu.com/3796-2/
https://usn.ubuntu.com/3796-3/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/10/msg00018.html
Для Oracle Solaris:
https://www.oracle.com/technetwork/topics/security/bulletinjul2019-5600410.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2018:3505
https://access.redhat.com/errata/RHSA-2018:3406
https://access.redhat.com/errata/RHSA-2018:3347
https://access.redhat.com/errata/RHBA-2018:3497.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-1000805.
Прочая информация: —
Тип ошибки CWE: CWE-284, CWE-305
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/technetwork/topics/security/bulletinjul2019-5600410.html
https://github.com/paramiko/paramiko/issues/1283
https://herolab.usd.de/wp-content/uploads/sites/4/usd20180023.txt
https://lists.debian.org/debian-lts-announce/2018/10/msg00018.html
https://usn.ubuntu.com/3796-1/
https://usn.ubuntu.com/3796-2/
https://usn.ubuntu.com/3796-3/
https://access.redhat.com/errata/RHSA-2018:3505
https://access.redhat.com/errata/RHSA-2018:3406
https://access.redhat.com/errata/RHSA-2018:3347
https://access.redhat.com/errata/RHBA-2018:3497
http://www.paramiko.org/changelog.html
