9VSA23-00946-01 CSIRT comparte información de dos vulnerabilidades parchadas en OpenSSL 9.6
El CSIRT de Gobierno comparte información sobre vulnerabilidades que son parchadas en la versión 9.6 de OpenSSH.
![9VSA23-00946-01.png](https://media.ciberseguridad.gob.cl/images/9VSA23-00946-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El CSIRT de Gobierno comparte información sobre vulnerabilidades que son parchadas en la versión 9.6 de OpenSSH.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo alto:
CVE-2023-48795: El protocolo de transporte SSH en ciertas extensiones OpenSSH, que se encuentra en versiones OpenSSH anteriores a la 9.6 y otros productos, permite a atacantes remotos evadir chequeos de integridad.
CVE-2023-51385: En SSH en OpenSSH anteriores a 9.6 puede ocurrir inyección de comandos OS si un nombre de usuario o de host tiene metacaracteres de shell, y este nombre es referenciado por un token de expansión en ciertas situaciones.
Mitigación
Instalar OpenSSH 9.6, el que se descarga en algunos de los mirrors listados aquí: https://www.openssh.com/ftp.html
Productos afectados
OpenSSH anteriores a 9.6.
Enlaces
https://www.openssh.com/txt/release-9.6
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00946-01.