Уязвимость CVE-2021-36370: Информация
Описание
An issue was discovered in Midnight Commander through 4.8.26. When establishing an SFTP connection, the fingerprint of the server is neither checked nor displayed. As a result, a user connects to the server without the ability to verify its authenticity.
Важность: HIGH (7,5) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Исправленные пакеты
Имя пакета | Ветка | Исправлено в версии | Версия в репозитории | Errata ID | № Задания | Состояние |
|---|---|---|---|---|---|---|
| mc | sisyphus | 4.8.27-alt1 | 4.8.30-alt5 | ALT-PU-2022-1011-1 | 293160 | Исправлено |
| mc | sisyphus_e2k | 4.8.27-alt1 | 4.8.30-alt5 | ALT-PU-2022-3579-1 | - | Исправлено |
| mc | sisyphus_riscv64 | 4.8.27-alt1 | 4.8.30-alt5 | ALT-PU-2022-3565-1 | - | Исправлено |
| mc | p10 | 4.8.27-alt1 | 4.8.30-alt4 | ALT-PU-2022-1068-1 | 292375 | Исправлено |
| mc | p10_e2k | 4.8.27-alt1 | 4.8.30-alt5 | ALT-PU-2022-3736-1 | - | Исправлено |
| mc | p9 | 4.8.27-alt1 | 4.8.30-alt4 | ALT-PU-2022-1102-1 | 293658 | Исправлено |
| mc | p9_e2k | 4.8.27-alt1 | 4.8.28-alt1 | ALT-PU-2022-3864-1 | - | Исправлено |
| mc | p8 | 4.8.27-alt0.M80P.1 | 4.8.30-alt0.M80P.1 | ALT-PU-2022-1156-1 | 293670 | Исправлено |
| mc | c10f1 | 4.8.27-alt1 | 4.8.28-alt1 | ALT-PU-2022-1068-1 | 292375 | Исправлено |
| mc | c9f2 | 4.8.27-alt1 | 4.8.27-alt1 | ALT-PU-2022-1089-1 | 293422 | Исправлено |
Ссылки на рекомендации, решения и инструменты
Ссылка | Ресурс |
|---|---|
| https://github.com/MidnightCommander/mc/blob/master/src/vfs/sftpfs/connection.c |
|
| https://github.com/MidnightCommander/mc/blob/5c1d3c55dd15356ec7d079084d904b7b0fd58d3e/src/vfs/sftpfs/connection.c#L484 |
|
| https://sourceforge.net/projects/mcwin32/files/ |
|
| https://midnight-commander.org/ |
|
| https://mail.gnome.org/archives/mc-devel/2021-August/msg00008.html |
|
| https://docs.ssh-mitm.at/CVE-2021-36370.html |
|