V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
ApacheПриложениеnvd

Mina Sshd

Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
7.1
Макс. EPSS
0.58204

Распределение по критичности

Критический
0
Высокий
1
Средний
2
Низкий
0

Затронутые диапазоны версий

2.0.0–2.18.0≤ 2.11.0
Также сопоставлено как (исходные строки): mina_sshd

Топ уязвимостей

CVE-2026-48827Уязвимость прохода в Apache MINA SSHD пакета sshd-git. Отсутствие проверки пути в git-upload-pack, git-receive-pack и других операциях git позволяет пользователям аутентифицировать доступ к SSH к репозиториям за пределами сконфигурированного каталога корня git-сервера. Приложения затрагиваются, если они используют org.apache.sshd:sshd-git. Приложения, не использующие ssd-git, не затрагиваются. Пользователям рекомендуется обновить затронутые приложения до Apche MINA SSHD 2.18.0, что устраняет проблему. Выпуск также присутствует в предварительных вехах 3.0.0-M1 до 3.0.0-M3 для новой новой основной версии 3.0.0. Опять же, приложения затрагиваются только в том случае, если они используют ssd-git. Обновление затронутых приложений до 3.0.0-M4. Мы хотели бы отметить, что профессиональный git-сервер не должен полагаться исключительно на макет и разрешения файловой системы, а должен внедрять дополнительные средства контроля безопасности для регулирования доступа к репозиториям и операциям, разрешенным в конкретных репозиториях.
CVE-2024-41909Как и многие другие реализации SSH, Apache MINA SSHD страдает от проблемы, которая более широко известна как CVE-2023-48795. Злоумышленник, который может перехватывать трафик между клиентом и сервером, может отбрасывать определенные пакеты из потока, что может привести к тому, что клиент и сервер в конечном итоге получат соединение, для которого некоторые функции безопасности были понижены или отключены, также известное как атака Terrapin. Средства защиты для предотвращения этого типа атак были реализованы в Apache MINA SSHD 2.12.0, как на стороне клиента, так и на стороне сервера. Пользователям рекомендуется обновиться как минимум до этой версии. Обратите внимание, что как клиентская, так и серверная реализации должны иметь средства защиты, применяемые против этой проблемы, в противном случае соединение может быть по-прежнему затронуто.
CVE-2019-6111Проблема обнаружена в OpenSSH 7.9. Из-за того, что реализация scp происходит от rcp 1983 года, сервер выбирает, какие файлы/каталоги отправлять клиенту. Однако клиент scp выполняет только беглую проверку возвращенного имени объекта (предотвращаются только атаки с обходом каталогов). Вредоносный сервер scp (или злоумышленник Man-in-The-Middle) может перезаписать произвольные файлы в целевом каталоге клиента scp. Если выполняется рекурсивная операция (-r), сервер может манипулировать и подкаталогами (например, перезаписать файл .ssh/authorized_keys).
Перейти к вендору →Открыть в каталоге с фильтром по продукту →