Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/11/2013
La majoria de sistemes operatius basats en Linux i Unix utilitzen OpenSSH, que és molt usat per a servidors i també per a firmwares de routers, encara que normalment estos últims usen Dropbear que consumix menys recursos.
Sistemes Afectats:Les versions afectades són: OpenSSH 6.2 i OpenSSH 6.3 si estan compilades amb OpenSSL que suporte AES-GCM.
Referències:None
Solució:Tenim tres mètodes per a solucionar este error de seguretat:
N’hi ha prou amb iniciar una connexió via SSH al nostre servidor i teclejar l’ordre següent:
sshd -V
Donarà un error, ja que no existix este argument, però en la part superior figurarà la versió d’OpenSSH que utilitzem:
servidor: ~ # sshd -V
sshd: illegal option -- V
OpenSSH_6.2p2-hpn13v14 FreeBSD-openssh-portable-6.2.p2_3,1, OpenSSL 0.9.8y 5 Feb 2013
Moltes vegades l’actualització d’OpenSSH no depén de nosaltres, sinó d’altres desenvolupadors de distribucions Linux o Unix. Mentres estos desenvolupadors compilen l’última versió per als seus sistemes, podem deshabilitar l’ús d’AES-GCM que és el que provoca este error.
En el fitxer de configuració hem de posar la línia següent:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
La funció d’esta línia de codi és habilitar els xifrats que es mostren, si per exemple només volem usar AES256-CBC únicament haurem de posar AES256-CBC després de “Ciphers”.
En la pàgina web oficial d’OpenSSH es mostren tots els detalls d’esta vulnerabilitat i el codi monitor.wrap.c que hem d’usar per a solucionar-la.
Notes: None