Все бюллетени/sisyphus/ALT-PU-2019-3261-1
ALT-PU-2019-3261-1

Обновление пакета libssh в ветке sisyphus

Версия0.9.3-alt1
Задание#242717
Опубликовано2019-12-11
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (2)

BDU:2020-02642
HIGH7.1

Уязвимость функции ssh_scp_new() библиотеки libssh, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2020-06-05Изменено: 2024-09-16
CVSS 3.xВЫСОКАЯ 7.1
CVSS:3.x/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
CVSS 2.0ВЫСОКАЯ 8.5
CVSS:2.0/AV:N/AC:M/Au:S/C:C/I:C/A:C
Ссылки
CVE-2019-14889
HIGH8.8

A flaw was found with the libssh API function ssh_scp_new() in versions before 0.9.3 and before 0.8.8. When the libssh SCP client connects to a server, the scp command, which includes a user-provided path, is executed on the server-side. In case the library is used in a way where users can influence the third parameter of the function, it would become possible for an attacker to inject arbitrary commands, leading to a compromise of the remote target.

Опубликовано: 2019-12-10Изменено: 2024-11-21
CVSS 2.0КРИТИЧЕСКАЯ 9.3
CVSS:2.0/AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки