Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/11/2013
La mayoría de sistemas operativos basados en Linux y Unix utilizan OpenSSH, es muy usado para servidores y también para firmwares de routers, aunque normalmente, estos últimos usan Dropbear que consume menos recursos.
Sistemas Afectados:Las versiones afectadas son: OpenSSH 6.2 y OpenSSH 6.3 si están compiladas con OpenSSL que soporte AES-GCM.
Referencias:None
Solución:Tenemos tres métodos para solucionar este fallo de seguridad:
Basta con iniciar una conexión vía SSH a nuestro servidor y teclear el siguiente comando:
sshd -V
Dará un error ya que no existe tal argumento, pero en la parte superior aparecerá la versión de OpenSSH que estamos utilizando:
servidor: ~ # sshd -V sshd: illegal option -- V OpenSSH_6.2p2-hpn13v14 FreeBSD-openssh-portable-6.2.p2_3,1, OpenSSL 0.9.8y 5 Feb 2013
En muchas ocasiones, la actualización de OpenSSH no depende de nosotros, sino de otros desarrolladores de distribuciones Linux o Unix. Mientras estos desarrolladores compilan la última versión para sus sistemas, podemos deshabilitar el uso de AES-GCM que es el que provoca este fallo.
En el fichero de configuración debemos poner la siguiente línea:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
La función de esta línea de código es habilitar los cifrados que se muestran, si por ejemplo sólo queremos usar AES256-CBC únicamente deberemos poner AES256-CBC después de “Ciphers”.
En la página web oficial de OpenSSH se muestran todos los detalles de esta vulnerabilidad y el código monitor.wrap.c que debemos usar para solucionarlo.
Notas: None