1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2006-106 Negación de servicio en OpenSSH

Una falla en el demonio de OpenSSH permite a atacantes remotos sin autenticar poder provocar una negación de servicio.

  • Fecha de Liberación: 27-Sep-2006
  • Ultima Revisión: 29-Sep-2006
  • Fuente: GLSA 200609-17 / openssh
  • CVE ID: CVE-2006-4924
  • Riesgo Alto
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Negación de servicio

Sistemas Afectados

OpenSSH == 3
OpenSSH == 4
  1. Descripción

    OpenSSH es una suite de aplicaciones para el protocolo SSH, desarrollado y mantenido por el proyecto OpenBSD.

    Se ha descubierto una vulnerabilidad que podría permitir una negación de servicio para el protocolo de SSH versión 1 en el código del detector de ataques de compensación CRC.

    La vulnerabilidad es causada debido a un error dentro del manejo de múltiples bloques idénticos dentro de un paquete de ssh, si el protocolo ssh es habilitado, esto puede causar una negación de servicio al consumir el procesamiento del CPU, puede ser realizado enviando paquetes específicamente creados.

  2. Impacto

    Los usuarios que no cuenten con los parches correspondientes son vulnerables a una negación de servicio.

  3. Solución

    Se recomienda aplicar los parches que corrigen esta vulnerabilidad en las siguientes direcciones.

    http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/deattack.c.diff?r1=1.29&r2=1.30&sortby=date&f=h

    http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/packet.c.diff?r1=1.143&r2=1.144&sortby=date&f=h

    http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/deattack.h.diff?r1=1.9&r2=1.10&sortby=date&f=h

  4. Referencias

    http://secunia.com/advisories/22091

    http://www.gentoo.org/security/en/glsa/glsa-200609-17.xml

    http://www.securityfocus.com/bid/20216/info

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
  • Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT