Уязвимость BDU:2019-02721

Дата: 17.10.2018. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2019-02721.

Наименование уязвимости: Уязвимость библиотеки Paramiko операционных систем Oracle Solaris, Ubuntu, Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Virtualization и консоли управления Red Hat Ansible Tower, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость библиотеки Paramiko операционных систем Oracle Solaris, Ubuntu, Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Virtualization и консоли управления Red Hat Ansible Tower связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью SSH протокола
Уязвимое ПО: Операционная система Canonical Ltd. Ubuntu 14.04 LTS | Операционная система Canonical Ltd. Ubuntu 16.04 LTS | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Canonical Ltd. Ubuntu 18.10 | Операционная система Oracle Corp. Solaris 11.4 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Desktop 6.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server 6.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Workstation 6.0 | Операционная система Debian GNU/Linux 8.0 | Операционная система Canonical Ltd. Ubuntu 12.04 ESM | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 7.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server EUS 7.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server TUS 7.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Desktop 7.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 6.4 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 6.5 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 6.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server EUS 6.7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server TUS 6.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Workstation 7.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Red Hat Inc. Red Hat Virtualization 4.0 | Сетевое программное средство Red Hat Inc. Ansible Tower 3.3 | Прикладное ПО информационных систем Paramiko 2.4.1 | Прикладное ПО информационных систем Paramiko 2.3.2 | Прикладное ПО информационных систем Paramiko 2.2.3 | Прикладное ПО информационных систем Paramiko 2.1.5 | Прикладное ПО информационных систем Paramiko 2.0.8 | Прикладное ПО информационных систем Paramiko 1.18.5 | Прикладное ПО информационных систем Paramiko 1.17.6 |

Наименование ОС и тип аппаратной платформы: Ubuntu 1404 LTS | Ubuntu 1604 LTS | Ubuntu 1804 LTS | Ubuntu 1810 | Solaris 114 | Red Hat Enterprise Linux Desktop 60 | Red Hat Enterprise Linux Server 60 | Red Hat Enterprise Linux Workstation 60 | Debian GNU/Linux 80 | Ubuntu 1204 ESM | Red Hat Enterprise Linux Server AUS 76 | Red Hat Enterprise Linux Server EUS 76 | Red Hat Enterprise Linux Server TUS 76 | Red Hat Enterprise Linux Desktop 70 | Red Hat Enterprise Linux Server AUS 64 | Red Hat Enterprise Linux Server AUS 65 | Red Hat Enterprise Linux Server AUS 66 | Red Hat Enterprise Linux Server EUS 67 | Red Hat Enterprise Linux Server TUS 66 | Red Hat Enterprise Linux Workstation 70 | Red Hat Virtualization 40 |
Дата выявления: 17.10.2018.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:

Для Paramiko: обновление программного обеспечения до актуальной версии

Для Ubuntu:
https://usn.ubuntu.com/3796-1/
https://usn.ubuntu.com/3796-2/
https://usn.ubuntu.com/3796-3/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/10/msg00018.html

Для Oracle Solaris:
https://www.oracle.com/technetwork/topics/security/bulletinjul2019-5600410.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2018:3505
https://access.redhat.com/errata/RHSA-2018:3406
https://access.redhat.com/errata/RHSA-2018:3347
https://access.redhat.com/errata/RHBA-2018:3497.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-1000805.
Прочая информация:
Тип ошибки CWE: CWE-284, CWE-305
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/technetwork/topics/security/bulletinjul2019-5600410.html
https://github.com/paramiko/paramiko/issues/1283
https://herolab.usd.de/wp-content/uploads/sites/4/usd20180023.txt
https://lists.debian.org/debian-lts-announce/2018/10/msg00018.html
https://usn.ubuntu.com/3796-1/
https://usn.ubuntu.com/3796-2/
https://usn.ubuntu.com/3796-3/
https://access.redhat.com/errata/RHSA-2018:3505
https://access.redhat.com/errata/RHSA-2018:3406
https://access.redhat.com/errata/RHSA-2018:3347
https://access.redhat.com/errata/RHBA-2018:3497
http://www.paramiko.org/changelog.html

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *