int(134)

Vulnerability Bulletins


Múltiples vulnerabilidades en implementaciones de SSH de diversos proveedores

Vulnerability classification

Property Value
Confidence level Oficial
Impact Compromiso Root
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information

Property Value
Affected manufacturer GNU/Linux
Affected software F-Secure (Windows, Unix)
Intersoft International Inc. (Windows)
Pragma Systems (Windows)
PuTTY (Windows)
SSH Communications Security (Windows, Unix)
FiSSH (Windows)

Description

Se han descubierto 4 nuevas vulnerabilidades en las implementaciones de SSH de muchos servidores y clientes debido a las siguientes razones:

1.-Manejo incorrecto de paquetes de datos con indicadores de longitud incorrecta
2.-Manejo incorrecto de listas con elementos o secuencias vacias
3.-Manejo incorrecto de paquetes o campos grandes
4.-Manejo incorrecto de caracteres nulos

Estas 4 vulnerabilidades pueden permitir a los atacantes remotos provocar una denegación de servicio y posiblemente ejecutar código arbitrario.

Solution



Actualización de software
Revise y actualice cualquier software que pudiera estar afectado por esta vulnerabilidad.

Standar resources

Property Value
CVE CAN-2002-1357
CAN-2002-1358
CAN-2002-1359
CAN-2002-1360
BID

Other resources

CERT® Advisory CA-2002-36 Multiple Vulnerabilities in SSH Implementations
http://www.cert.org/advisories/CA-2002-36.html

CERT/CC Vulnerability Note VU#389665
http://www.kb.cert.org/vuls/id/389665

Version history

Version Comments Date
1.0 Aviso emitido 2003-12-18
Ministerio de Defensa
CNI
CCN
CCN-CERT