Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Problemas de seguridad en diversas implementaciones SSH

Última Actualización: 16 de Marzo de 2.000 - Viernes

Artículo publicado en el boletín Una-Al-Día de Hispasec, el 21 de Febrero de 2.001.
Publicado también en es.internet.com, el 23 de Febrero de 2.001.

En los últimos días se han encontrado varios problemas de seguridad en varias implementaciones SSH:

  • La implementación AFS/Kerberos v4 de SSH-1.2.2x es susceptible a un ataque de desbordamiento de búfer que permite ejecutar código arbitrario en el servidor.

    OpenSSH corrigió el problema en Septiembre de 1.999. Los sistemas que empleen AFS/Kerberos 4 deberían actualizar a OpenSSH.

  • Bajo NetBSD, las claves generadas, si no se dispone del módulo "RND(4)" en el Kernel, son de muy mala calidad.

  • Las versiones de desarrollo de OpenSSH 2.3.1 sólo comprobaban que el cliente dispusiera de la clave pública autorizada, pero no verificaban que estuviese en posesión de la clave privada. Dado que la clave pública es "pública", esta vulnerabilidad era grave.

    El problema fue detectado y solucionado el 8 de Febrero. Los usuarios que hayan descargado la versión de desarrollo de OpenSSH 2.3.1 entre el 18 de Enero y el 8 de Febrero de 2.001 deberían actualizarse.

  • Las claves generadas por FreSSH en sistemas operativos sin un dispositivo "/dev/random" o similar son de muy baja calidad. Ello incluye AIX, Solaris, HP/UX e Irix.

    Oficialmente, estos sistemas operativos no están soportados, pero nada impide a un administrador compilar FreSSH en una de estas arquitecturas. El código resultante funcionará correctamente pero, sin ninguna advertencia, generará claves de muy baja calidad.

Más información:

Python Zope ©2001 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS