Podatność CVE-2018-7750


Publikacja: 2018-03-13

Opis:
transport.py in the SSH server implementation of Paramiko before 1.17.6, 1.18.x before 1.18.5, 2.0.x before 2.0.8, 2.1.x before 2.1.5, 2.2.x before 2.2.3, 2.3.x before 2.3.2, and 2.4.x before 2.4.1 does not properly check whether authentication is completed before processing other requests, as demonstrated by channel-open. A customized SSH client can simply skip the authentication step.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
Paramiko 2.4.1 Authentication Bypass
Adam Brown
29.10.2018

Typ:

CWE-287

(Improper Authentication)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Redhat -> Ansible engine 
Redhat -> Cloudforms 
Redhat -> Enterprise linux desktop 
Redhat -> Enterprise linux server 
Redhat -> Enterprise linux server aus 
Redhat -> Enterprise linux server eus 
Redhat -> Enterprise linux server tus 
Redhat -> Enterprise linux workstation 
Redhat -> Virtualization 
Paramiko -> Paramiko 
Debian -> Debian linux 

 Referencje:
http://www.securityfocus.com/bid/103713
https://access.redhat.com/errata/RHSA-2018:0591
https://access.redhat.com/errata/RHSA-2018:0646
https://access.redhat.com/errata/RHSA-2018:1124
https://access.redhat.com/errata/RHSA-2018:1125
https://access.redhat.com/errata/RHSA-2018:1213
https://access.redhat.com/errata/RHSA-2018:1274
https://access.redhat.com/errata/RHSA-2018:1328
https://access.redhat.com/errata/RHSA-2018:1525
https://access.redhat.com/errata/RHSA-2018:1972
https://github.com/paramiko/paramiko/blob/master/sites/www/changelog.rst
https://github.com/paramiko/paramiko/commit/fa29bd8446c8eab237f5187d28787727b4610516
https://github.com/paramiko/paramiko/issues/1175
https://lists.debian.org/debian-lts-announce/2018/10/msg00018.html
https://usn.ubuntu.com/3603-1/
https://usn.ubuntu.com/3603-2/
https://www.exploit-db.com/exploits/45712/

Copyright 2024, cxsecurity.com

 

Back to Top