BDU:2022-07484
Оценки
EPSS
Процентиль: 0.0%
CVSS
Оценка CVSS: 8.2/10
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Требуемые привилегии
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Взаимодействие с пользователем
Отсутствует (N)
Отражает требование участия человека в атаке
Область воздействия
Неизменная (U)
Определяет, влияет ли успешная атака на компоненты за пределами уязвимого компонента
Воздействие на конфиденциальность
Низкое (L)
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Отсутствует (N)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Высокое (H)
Измеряет воздействие на доступность затронутого компонента
Вектор: AV:N/AC:L/Au:N/C:P/I:N/A:C
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Аутентификация
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Воздействие на конфиденциальность
Partial
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Отсутствует (N)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Complete
Измеряет воздействие на доступность затронутого компонента
Описание
Уязвимость функции kbdint_next_device() службы sshd средства криптографической защиты OpenSSH связана с недостатками разграничения доступа при обработке параметра oKbdInteractiveDevices, содержащего список методов для проверки подлинности с использованием интерактивной клавиатуры. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку методом «грубой силы» (brute force) или вызвать отказ в обслуживании
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
Связанные уязвимости
Справочные ссылки
Рекомендации
Источник: bdu
Использование рекомендаций:
Для OpenSSH обновить до версии 7.0 и выше:
https://www.openssh.com/releasenotes.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2015-5600
Для Fedora:
https://lists.fedoraproject.org/pipermail/package-announce/2015-August/165170.html
https://lists.fedoraproject.org/pipermail/package-announce/2015-July/162955.html
Для Junos OS:
https://supportportal.juniper.net/s/article/2015-10-Security-Bulletin-Junos-OpenSSH-brute-force-keyboard-interactive-MaxAuthTries-bypass-CVE-2015-5600?language=en_US
Для программных продуктов Apple Inc.:
https://support.apple.com/ru-ru/HT205031
Для Debian:
https://lists.debian.org/debian-lts-announce/2018/09/msg00010.html
Для Ubuntu:
https://ubuntu.com/security/notices/USN-2710-1
https://ubuntu.com/security/notices/USN-2710-2
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2016.html
https://www.oracle.com/security-alerts/cpujul2018.html
https://www.oracle.com/security-alerts/bulletinoct2015.html
https://www.oracle.com/security-alerts/linuxbulletinapr2016.html
https://www.oracle.com/security-alerts/linuxbulletinoct2015.html
https://www.oracle.com/security-alerts/ovmbulletinjul2016.html
Для Arista EOS:
https://www.arista.com/en/support/advisories-notices/security-advisory/1174-security-advisory-12
Для OpenBSD:
http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/auth2-chall.c.diff?r1=1.42&r2=1.43&f=h
http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/auth2-chall.c
Для продуктов Siemens:
https://cert-portal.siemens.com/productcert/html/ssa-412672.html
Организационные меры:
1) администраторам следует использовать пары ключей шифрования длиной не менее 2048 бит и сложные пароли для защиты закрытых ключей;
2) рекомендуется сократить время соединения с 30 до 20 секунд;
3) рекомендуется использовать ПО для ограничения количества попыток ввода неверного пароля.
Компания Siemens определила следующие конкретные обходные пути и меры по снижению риска, которые клиенты могут применить:
1) рекомендуется ограничить доступ к уязвимым системам, особенно к портам 22/tcp и 443/tcp;
2) следует деактивировать веб-сервер, если он не требуется (если деактивация поддерживается продуктом).
Уязвимое ПО (220)
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: red hat enterprise linux 6
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: ubuntu 12.04
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: solaris 10
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: solaris 11.3
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: oracle linux 5
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: solaris 11.2
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: arista eos *
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: openbsd 5.9
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: oracle linux 7
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: debian gnu/linux 8
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: junos *
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: openbsd 5.8
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: red hat enterprise linux 7
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: fedora 21
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: ubuntu 15.04
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: ubuntu 14.04 ESM
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: macos *
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: fedora 22
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: oracle linux 6
{ "version_end_excluding": "7.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: openbsd project
Продукт: openssh
Операционная система: openbsd 5.7
{ "version_end_excluding": "7.0"}
Источник: bdu