Expertos en seguridad han descubierto una grave vulnerabilidad en OpenSSH que afecta desde la versión 5.4 a la 7.1 y que permite sustraer las claves de cifrado privadas.
Ya se ha publicado una nueva versión de OpenSSH que parchea esta vulnerabilidad, por lo que se recomienda a todos los usuarios que actualicen a esta release. Otra opción es desactivar el código vulnerable añadiendo la opción "UseRoaming no” en el archivo de configuración ssh_config.
El problema reside en que las versiones afectadas cuentan con soporte experimental para reanudar conexiones SSH y el código de cliente se encontraba activado por defecto. Debido a esta configuración, un servidor malicioso podría engañar al cliente para que realizase fugas de memoria hacia el servidor, obteniendo así claves privadas del usuario.
OpenSSH es una implementación de Secure Shell (SSH), un protocolo que permite establecer comunicaciones encriptadas a través de una red, y que se puede aplicar en diferentes sistemas operativos basados en Linux, como Ubuntu y Mac OS X.
Fuente: Segu.info
Debe autenticarse para comentar este post