BDU:2017-00353: Уязвимость средства криптографической защиты OpenSSH, позволяющая нарушителю выполнять произвольные модули

Описание уязвимости Уязвимость в ssh-agent.c и ssh-agent средства криптографической защиты OpenSSH связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные локальные PKCS#11 модули путем использования контроля над пересылаемыми агентами-сокетами
Вендор OpenBSD Project
Наименование ПО OpenSSH
Версия ПО
  • до версии 7.4
Тип ПО Программное средство защиты
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Linux . 64-bit
  • Сообщество свободного программного обеспечения Linux . 32-bit
  • Apple Inc. Mac OS X 32-bit
  • Apple Inc. Mac OS X 64-bit
  • Oracle Corp. Solaris . 64-bit
  • Oracle Corp. Solaris . 32-bit
  • IBM Corp. AIX . 32-bit
  • IBM Corp. AIX . 64-bit
  • Hewlett-Packard Development Company L.P. HP-UX . 32-bit
  • Hewlett-Packard Development Company L.P. HP-UX . 64-bit
  • FreeBSD Project FreeBSD . 64-bit
  • FreeBSD Project FreeBSD . 32-bit
  • The NetBSD Project NetBSD . 32-bit
  • OpenBSD Project OpenBSD . 64-bit
  • OpenBSD Project OpenBSD . 32-bit
  • Computer Science Research Group NetBSD . 64-bit
  • SCO Group SCO . 64-bit
  • SCO Group SCO . 32-bit
  • Silicon Graphics Corp. IRIX . 64-bit
  • Silicon Graphics Corp. IRIX . 32-bit
Тип ошибки Ненадежный путь поиска
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 05.01.2017
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/openbsd/src/commit/9476ce1dd37d3c3218d5640b74c34c65e5f4efe5
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации Данные уточняются
Способ устранения Данные уточняются
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения