Vulnerabilidad en Soft Serve (CVE-2023-43809)

Soft Serve es un servidor Git autohospedable para la línea de comandos. Antes de la versión 0.6.2, una vulnerabilidad de seguridad en Soft Serve podría permitir a un atacante remoto no autenticado eludir la autenticación de clave pública cuando la autenticación SSH interactiva con teclado está activa, a través de la configuración "allow-keyless", y la clave pública requiere verificación adicional del lado del cliente, por ejemplo, utilizando FIDO2 o GPG. Esto se debe a procedimientos de validación insuficientes del paso de la clave pública durante el protocolo de enlace de solicitud SSH, lo que otorga acceso no autorizado si se utiliza el modo de interacción con el teclado. Un atacante podría aprovechar esta vulnerabilidad presentando solicitudes SSH manipuladas utilizando el modo de autenticación interactivo con teclado. Potencialmente, esto podría resultar en un acceso no autorizado al Soft Serve. Los usuarios deben actualizar a la última versión de Soft Serve `v0.6.2` para recibir el parche para este problema. Como workaround esta vulnerabilidad sin realizar una actualización, los usuarios pueden desactivar temporalmente la autenticación SSH interactiva con teclado utilizando la configuración "allow-keyless".