Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/08/2016
Actualització de seguretat d'OpenSSH
Les vulnerabilitats detectades podrien permetre l’obtenció d’informació sensible, elevar privilegis o provocar denegacions de servei.La primera vulnerabilitat, amb CVE-2016-6210, és una denegació de servei per un ús excessiu de CPU si un atacant enviara contrasenyes molt llargues. També es mitiguen diferències temporals en l’autenticació de contrasenyes que podrien emprar-se per a descobrir noms d’usuari vàlids quan s’envien contrasenyes llargues i el servidor usa determinats algoritmes hash.
La vulnerabilitat CVE-2015-8325, s’ignoren certes variables d’entorn PAM quan "UseLogin = yes", i un usuari local pot atacar /bet/loguet a través de LD_PRELOAD o variables d’entorn semblants establides a través de PAM.
Sistemes Afectats:Versions d’OpenSSH anteriors a 7.3
Referències:CVE-2016-6210, CVE-2015-8325
Solució:OpenSSH ha publicat la versió OpenSSH 7.3 que corregeix aquests problemes i algunes altres fallades no relacionades directament amb la seguretat.
Notes:
http://www.openssh.com/txt/release-7.3