Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/08/2016
La primera vulnerabilidad, con CVE-2016-6210, es una denegación de servicio debido a un uso excesivo de CPU si un atacante enviase contraseñas muy largas. También se mitigan diferencias temporales en la autenticación de contraseñas que podrían emplearse para descubrir nombres de usuario válidos cuando se envían contraseñas largas y el servidor usa determinados algoritmos hash.
La vulnerabilidad CVE-2015-8325, se ignoran ciertas variables de entorno PAM cuando "UseLogin = yes", pudiendo un usuario local atacar /bin/login a través de LD_PRELOAD o variables de entorno similares establecidas a través de PAM.
Sistemas Afectados:Versiones de OpenSSH anteriores a 7.3
Referencias:CVE-2016-6210, CVE-2015-8325
Solución:OpenSSH ha publicado la versión OpenSSH 7.3 que corrige estos problemas y algunos otros fallos no relacionados directamente con la seguridad.
Notas:http://www.openssh.com/txt/release-7.3