• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4387-1 openssh -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4387-1 openssh -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Описание
Харри Синтонен из F-Secure Corporation обнаружил многочисленные уязвимости в
OpenSSH, реализации набора протоколов SSH. Все уязвимости были обнаружены
в клиенте scp, реализующем протокол SCP.

CVE-2018-20685
    Из-за неправильной проверки имени каталога scp-клиент позволяет серверам
    изменить права целевого каталога при использовании пустого имени каталога или
    имени каталога с точкой.
CVE-2019-6109
    Из-за отсутствие кодирования символов при отображении прогресса имя объекта
    может использоваться для управления клиентским выводом. Например, для использования
    ANSI-кодов для скрытия некоторых перемещаемых файлов.
CVE-2019-6111
    Из-за недостаточной проверки входных данных в именах путей, отправляемых
    сервером, вредоносный сервер может переписывать произвольные файлы в целевом
    каталоге. Если используется опция (-r) для рекурсивной обработки, то сервер может
    изменять и подкаталоги.
    Добавленная в данной версии проверка может приводить к регрессу в случае, если у клиента и
    сервера имеются различия в правилах раскрытия шаблонов. Если сервер является доверенным,
    то данную проверку можно отключить с помощью новой опции -T, передаваемой
    scp-клиенту.

В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1:7.4p1-10+deb9u5.
Рекомендуется обновить пакеты openssh.
С подробным статусом поддержки безопасности openssh можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/openssh">https://security-tracker.debian.org/tracker/openssh">https://security-tracker.debian.org/tracker/openssh
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
openssh-client - 1:7.4p1-10+deb9u5
openssh-client-ssh1 - 1:7.4p1-10+deb9u5
openssh-server - 1:7.4p1-10+deb9u5
openssh-sftp-server - 1:7.4p1-10+deb9u5
ssh - 1:7.4p1-10+deb9u5
ssh-askpass-gnome - 1:7.4p1-10+deb9u5
ssh-krb5 - 1:7.4p1-10+deb9u5
Ссылки
http://www.debian.org/security/dsa-4387/

Источник: CVE
Наименование: CVE-2019-6111
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6111

Источник: CVE
Наименование: CVE-2018-20685
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20685

Источник: CVE
Наименование: CVE-2019-6109
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6109