Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4322-1 libssh

Aviso de seguridad de Debian

DSA-4322-1 libssh -- actualización de seguridad

Fecha del informe:

17 de oct de 2018

Paquetes afectados:

libssh

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 911149.
En el diccionario CVE de Mitre: CVE-2018-10933.

Información adicional:

Peter Winter-Smith, de NCC Group, descubrió que libssh, una diminuta librería de SSH en C, contiene una vulnerabilidad de elusión («bypass») de autenticación en el código del servidor. Un atacante puede aprovechar este defecto para autenticarse con éxito sin ninguna credencial mediante la entrega al servidor de un mensaje SSH2_MSG_USERAUTH_SUCCESS en lugar del mensaje SSH2_MSG_USERAUTH_REQUEST que esperaría recibir para iniciar la autenticación.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 0.7.3-2+deb9u1.

Le recomendamos que actualice los paquetes de libssh.

Para información detallada sobre el estado de seguridad de libssh consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/libssh