Все бюллетени/p8/ALT-PU-2020-1469-1
ALT-PU-2020-1469-1

Обновление пакета libssh в ветке p8

Версия0.8.8-alt1
Задание#247316
Опубликовано2020-03-13
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (4)

BDU:2018-01221
CRITICAL9.8

Уязвимость механизма аутентификации серверной части библиотеки libssh, позволяющая нарушителю обойти процедуру аутентификации

Опубликовано: 2018-10-19Изменено: 2021-03-23
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 10.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C
Ссылки
BDU:2020-02642
HIGH7.1

Уязвимость функции ssh_scp_new() библиотеки libssh, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2020-06-05Изменено: 2024-09-16
CVSS 3.xВЫСОКАЯ 7.1
CVSS:3.x/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
CVSS 2.0ВЫСОКАЯ 8.5
CVSS:2.0/AV:N/AC:M/Au:S/C:C/I:C/A:C
Ссылки
CVE-2018-10933
CRITICAL9.1

A vulnerability was found in libssh's server-side state machine before versions 0.7.6 and 0.8.4. A malicious client could create channels without first performing authentication, resulting in unauthorized access.

Опубликовано: 2018-10-17Изменено: 2024-11-21
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Ссылки
CVE-2019-14889
HIGH8.8

A flaw was found with the libssh API function ssh_scp_new() in versions before 0.9.3 and before 0.8.8. When the libssh SCP client connects to a server, the scp command, which includes a user-provided path, is executed on the server-side. In case the library is used in a way where users can influence the third parameter of the function, it would become possible for an attacker to inject arbitrary commands, leading to a compromise of the remote target.

Опубликовано: 2019-12-10Изменено: 2024-11-21
CVSS 2.0КРИТИЧЕСКАЯ 9.3
CVSS:2.0/AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки

Закрытые ошибки (1)