V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2019-6111
AST
СреднийПодтвержденаЭксплойт есть

Проблема обнаружена в OpenSSH 7.9. Из-за того, что реализация scp происходит от rcp 1983 года, сервер выбирает, какие файлы/каталоги отправ…

CVSS
5.3
Средний
EPSS
0.58
p98
Опубликовано
2019-01-01
Обновлено
2019-01-01
Описание

Проблема обнаружена в OpenSSH 7.9. Из-за того, что реализация scp происходит от rcp 1983 года, сервер выбирает, какие файлы/каталоги отправлять клиенту. Однако клиент scp выполняет только беглую проверку возвращенного имени объекта (предотвращаются только атаки с обходом каталогов). Вредоносный сервер scp (или злоумышленник Man-in-The-Middle) может перезаписать произвольные файлы в целевом каталоге клиента scp. Если выполняется рекурсивная операция (-r), сервер может манипулировать и подкаталогами (например, перезаписать файл .ssh/authorized_keys).

Теги · CWE
Без аутентификации
CWE-20
CWE-22
CAPEC-3
CAPEC-7
CAPEC-8
CAPEC-9
CAPEC-10
CAPEC-13
CAPEC-14
CAPEC-22
CAPEC-23
CAPEC-24
CAPEC-28
CAPEC-31
CAPEC-42
CAPEC-43
CAPEC-45
CAPEC-46
CAPEC-47
CAPEC-52
CAPEC-53
CAPEC-63
CAPEC-64
CAPEC-67
CAPEC-71
CAPEC-72
CAPEC-73
CAPEC-76
CAPEC-78
CAPEC-79
CAPEC-80
CAPEC-81
CAPEC-83
CAPEC-85
CAPEC-88
CAPEC-101
CAPEC-104
CAPEC-108
CAPEC-109
CAPEC-110
CAPEC-120
CAPEC-126
CAPEC-135
CAPEC-136
CAPEC-153
CAPEC-182
CAPEC-209
CAPEC-230
CAPEC-231
CAPEC-250
CAPEC-261
CAPEC-267
CAPEC-473
CAPEC-588
CAPEC-664
Затронутые продукты
OpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpensshOpenssh
Вектор CVSS
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N
Хронология
2019-01-01
Опубликована
2019-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.582 · p98
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
46193
exploitdb · https://www.exploit-db.com/exploits/46193
Enterprise
46516
exploitdb · https://www.exploit-db.com/exploits/46516
Enterprise
Затронутые продукты
ПродуктВендорСтатус
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
opensshОтслеживается
Показаны первые 20 из 60
Источники данных
AST
DEB
CVE
RED
UBU
Связанные уязвимости