低危 paramiko 信息泄露漏洞

CVE编号

CVE-2008-0299

利用情况

暂无

补丁情况

官方补丁

披露时间

2008-01-17

漏洞描述

common.py in Paramiko 1.7.1 and earlier, when using threads or forked processes, does not properly use RandomPool, which allows one session to obtain sensitive information from another session by predicting the state of the pool.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=460706
http://people.debian.org/~nion/nmu-diff/paramiko-1.6.4-1_1.6.4-1.1.patch
http://secunia.com/advisories/28488
http://secunia.com/advisories/28510
http://secunia.com/advisories/29168
http://security.gentoo.org/glsa/glsa-200803-07.xml
http://www.lag.net/pipermail/paramiko/2008-January/000599.html
http://www.securityfocus.com/bid/27307
https://bugzilla.redhat.com/show_bug.cgi?id=428727
https://exchange.xforce.ibmcloud.com/vulnerabilities/39749
https://www.redhat.com/archives/fedora-package-announce/2008-January/msg00529.html
https://www.redhat.com/archives/fedora-package-announce/2008-January/msg00594.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	python_software_foundation	paramiko	1.7.1	-
	运行在以下环境
	系统	debian_10	paramiko	*		Up to (excluding) 1.6.4-1.1
	运行在以下环境
	系统	debian_11	paramiko	*		Up to (excluding) 1.6.4-1.1
	运行在以下环境
	系统	debian_12	paramiko	*		Up to (excluding) 1.6.4-1.1
	运行在以下环境
	系统	debian_sid	paramiko	*		Up to (excluding) 1.6.4-1.1

阿里云评分 3.7

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 管控权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
NVD-CWE-Other

Exp相关链接

- avd.aliyun.com