Confira !!
O pacote libssh anterior à versão 0.9.4-1 é vulnerável à negação de serviço.
Comunicado de Segurança do Arch Linux ASA-202004-11
==========================================
Gravidade: média
Data: 2020-04-09
CVE-ID: CVE-2020-1730
Pacote: libssh
Tipo: negação de serviço
Remoto: Sim
Link: https://security.archlinux.org/AVG-1130
Sumário
=======
O pacote libssh antes da versão 0.9.4-1 é vulnerável à negação de
serviço.
Resolução
==========
Atualize para 0.9.4-1.
# pacman -Syu "libssh> = 0.9.4-1"
O problema foi corrigido na versão 0.9.4.
Gambiarra
==========
Esse problema pode ser atenuado, desativando as cifras AES-CTR.
Descrição
===========
Um cliente ou servidor mal-intencionado pode travar a contraparte implementada
com libssh antes da 0.9.4. Quando cifras AES-CTR são usadas e não são
totalmente inicializado, o libssh falhará quando tentar limpar o arquivo AES-
CTR cifra ao fechar a conexão.
Impacto
======
Um cliente ou servidor mal-intencionado pode travar a contraparte por meio de um
Conexão SSH.
Referências
==========
https://www.libssh.org/2020/04/09/libssh-0-9-4-and-libssh-0-8-9-security-release/
https://www.libssh.org/security/advisories/CVE-2020-1730.txt
https://git.libssh.org/projects/libssh.git/commit/?h=stable-0.9&id=958afb1c6ad671fe2a8d671702a88843bb78fc38
https://security.archlinux.org/CVE-2020-1730
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário