Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/10/2018
La vulnerabilidad, detectada únicamente en LibSSH, afecta al proceso de autenticación y en concreto a un estado de la comunicación al que únicamente se debería llegar tras introducir la contraseña pero que el investigador Peter Winter-Smith, de NCC Group, ha descubierto que podía llegar nada más iniciar la comunicación con el servidor, evadiendo de este modo completamente el proceso de autenticación.
Los usos de libssh son variados, pero no hay que confundir esta librería con OpenSSH que es otro proyecto completamente distinto y que no está afectado por este problema. También hay que tener en cuenta que algunas implementaciones de libssh, como por ejemplo la de GitHub, no se han visto afectadas.
Sistemas Afectados:Sistemas que incluyan la librería LibSSH desde la versión 0.6 hasta las versiones 0.7.5 o 0.8.3.
Referencias:CVE-2018-10933
Solución:Los desarrolladores de LibSSH han publicado las versiones 0.7.6 y 0.8.4 para solucionar el problema. Las distribuciones afectadas publicarán en breve actualizaciones para sus librerías. Para obtener más información sobre casos concretos consultar los enlaces en la sección de notas.
Notas: