Aviso de seguridad de Debian
DSA-4322-1 libssh -- actualización de seguridad
- Fecha del informe:
- 17 de oct de 2018
- Paquetes afectados:
- libssh
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 911149.
En el diccionario CVE de Mitre: CVE-2018-10933. - Información adicional:
-
Peter Winter-Smith, de NCC Group, descubrió que libssh, una diminuta librería de SSH en C, contiene una vulnerabilidad de elusión («bypass») de autenticación en el código del servidor. Un atacante puede aprovechar este defecto para autenticarse con éxito sin ninguna credencial mediante la entrega al servidor de un mensaje SSH2_MSG_USERAUTH_SUCCESS en lugar del mensaje SSH2_MSG_USERAUTH_REQUEST que esperaría recibir para iniciar la autenticación.
Para la distribución «estable» (stretch), este problema se ha corregido en la versión 0.7.3-2+deb9u1.
Le recomendamos que actualice los paquetes de libssh.
Para información detallada sobre el estado de seguridad de libssh consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/libssh