CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
5 de novembre de 2001


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

4 de novembre de 2001 - Popularització d'atacs contra CRC32 de SSH

S'ha descobert l'existència d'una vulnerabilitat remota a SSH que està sent àmpliament explotada. Aquesta vulnerabilitat pot permetre als atacants remots l'execució de codi arbitrari al sistema afectat sense necessitat de tenir cap coneixement específic de la màquina.

El passat 30 de juny ja es va avisar de l'existència d'aquest problema als dispositius Cisco afectats. L'existència "in the wild" d'eines que cercar i explotar aquesta vulnerabilitat fan palès la necessitar de solucionar aquest problema.

Segons ha anunciat X-Force d'ISS, hi ha un exploit que fa ús d'aquesta vulnerabilitat i que està sent actualment força utilitzat. La naturalesa d'aquesta vulnerabilitat es combina amb la confusió sobre les versions dels productes SSH i els seus pegats.

La vulnerabilitat existeix a les versions afectades de SSH quan els càlculs sencers no es tracten de forma adequada, el que provoca una condició de desbordament de memòria intermèdia. Explotar aquesta vulnerabilitat es considera extremadament difícil, encara que no impossible.

Es recomana examinar totes les configuracions per tal de determinar si SSH versió 1 està actiu, recomanant l'actualització a la versió 2 de SSH. En el cas de que SSH versió 1 no s'utilitza, cal desactivar el fallback i eliminar els fitxers binaris d'aquesta versió.

Una possible forma de prevenir aquesta vulnerabilitat és la intercepció o tenint el control del tràfic SSH.

Pel que fa als switches Catalyst 6000, totes les vulnerabilitats queden eliminades per les versions 6.1(2.13), 6.2(0.111) i 6.3(0.7) PAN de CatOS.

Per al tallafocs PIX es recomanen les següents actualitzacions, en funció de la versió del software:

  • Versió 5.2: està disponible l'actualització 5.2(5)203, encara que es recomana l'actualització a la versió 5.2(6).
  • Versió 5.3: està disponible la versió 5.3(1)202, encara que es recomana l'actualització a la versió 5.3(1)202.
  • Versió 6.0: Es recomana l'actualització a la versió 6.0(1), ja disponible.

Pel que fa a la resta de productes, donada la quantitat de versions diferents del software, es recomana la consulta de la taula disponible a la pàgina web de Cisco.

Més informació

Avís d'ISS:
http://xforce.iss.net/alerts/advise100.php

Avís de seguretat de Cisco:
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html

Antonio Ropero
antonior@hispasec.com
Contacte: info@quands.com