Vulnerabilidad en el servidor OpenSSH (CVE-2014-9278)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
06/12/2014
Última modificación:
12/04/2025
Descripción
El servidor OpenSSH, utilizado en Fedora y Red Hat Enterprise Linux 7 y cuando funciona en un entorno Kerberos, permite a usuarios remotos autenticados iniciar sesión como otro usuario cuando están listados en el fichero .k5users de ese usuario, lo que podría evadir los requisitos de autenticación que forzaría un inicio de sesión local.
Impacto
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openbsd:openssh:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:fedora:7:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://rhn.redhat.com/errata/RHSA-2015-0425.html
- http://thread.gmane.org/gmane.comp.encryption.kerberos.general/15855
- http://www.openwall.com/lists/oss-security/2014/12/02/3
- http://www.openwall.com/lists/oss-security/2014/12/04/17
- http://www.securityfocus.com/bid/71420
- https://bugzilla.mindrot.org/show_bug.cgi?id=1867
- https://bugzilla.redhat.com/show_bug.cgi?id=1169843
- https://exchange.xforce.ibmcloud.com/vulnerabilities/99090
- http://rhn.redhat.com/errata/RHSA-2015-0425.html
- http://thread.gmane.org/gmane.comp.encryption.kerberos.general/15855
- http://www.openwall.com/lists/oss-security/2014/12/02/3
- http://www.openwall.com/lists/oss-security/2014/12/04/17
- http://www.securityfocus.com/bid/71420
- https://bugzilla.mindrot.org/show_bug.cgi?id=1867
- https://bugzilla.redhat.com/show_bug.cgi?id=1169843
- https://exchange.xforce.ibmcloud.com/vulnerabilities/99090