9VSA23-00946-01 CSIRT comparte información de dos vulnerabilidades parchadas en OpenSSL 9.6
El CSIRT de Gobierno comparte información sobre vulnerabilidades que son parchadas en la versión 9.6 de OpenSSH.
Resumen
El CSIRT de Gobierno comparte información sobre vulnerabilidades que son parchadas en la versión 9.6 de OpenSSH.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo alto:
CVE-2023-48795: El protocolo de transporte SSH en ciertas extensiones OpenSSH, que se encuentra en versiones OpenSSH anteriores a la 9.6 y otros productos, permite a atacantes remotos evadir chequeos de integridad.
CVE-2023-51385: En SSH en OpenSSH anteriores a 9.6 puede ocurrir inyección de comandos OS si un nombre de usuario o de host tiene metacaracteres de shell, y este nombre es referenciado por un token de expansión en ciertas situaciones.
Mitigación
Instalar OpenSSH 9.6, el que se descarga en algunos de los mirrors listados aquí: https://www.openssh.com/ftp.html
Productos afectados
OpenSSH anteriores a 9.6.
Enlaces
https://www.openssh.com/txt/release-9.6
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00946-01.