Grave falla di OpenSSH può fornire accesso remoto come root a criminali informatici

[Filoteo]

Maggiori dettagli qui: https://www.qualys.com/2024/07/01/cve-2 ... sshion.txt. Possibile mitigazione nel caso non si possa aggiornare subito: https://marc.info/?l=oss-security&m=171982317624594&w=2

[saxtro]

Codice: Seleziona tutto

...
- OpenSSH < 4.4p1 is vulnerable to this signal handler race condition,
  if not backport-patched against CVE-2006-5051, or not patched against
  CVE-2008-4109, which was an incorrect fix for CVE-2006-5051;

- 4.4p1 <= OpenSSH < 8.5p1 is not vulnerable to this signal handler race
  condition (because the "#ifdef DO_LOG_SAFE_IN_SIGHAND" that was added
  to sigdie() by the patch for CVE-2006-5051 transformed this unsafe
  function into a safe _exit(1) call);

- 8.5p1 <= OpenSSH < 9.8p1 is vulnerable again to this signal handler
  race condition (because the "#ifdef DO_LOG_SAFE_IN_SIGHAND" was
  accidentally removed from sigdie()).
...

Quindi con versioni comprese tra 4.4p1 e 8.5p1 non si è vittime di questo bug.

[wilecoyote]

) Salve, dato che tra circa 3 ore, ¼ d'orina più ¼ d'orina meno, avrò la necessità d'usare il OpenSSH, la versione 8.9p1 appena aggiornata è sicura o no ?

:: Ciao

[Filoteo]

) Salve, dato che tra circa 3 ore, ¼ d'orina più ¼ d'orina meno, avrò la necessità d'usare il OpenSSH, la versione 8.9p1 appena aggiornata è sicura o no ?

:: Ciao

Se apt-cache policy openssh-server riporta questa versione allora è sicura.

[wilecoyote]

) Salve, grazie della risposta @Filoteo.

Sì, in Kubuntu Jammy 22.04.4 LTS è quella la versione appena aggiornata.

:: Ciao