Vulnerabilidad en OpenSSH (CVE-2024-39894)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/07/2024
Última modificación:
29/01/2025
Descripción
OpenSSH 9.5 a 9.7 anterior a 9.8 a veces permite ataques de sincronización contra la entrada de contraseña sin eco (por ejemplo, para su y Sudo) debido a un error lógico de ObscureKeystrokeTiming. De manera similar, podrían ocurrir otros ataques de sincronización contra la entrada de teclas.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/07/03/6
- http://www.openwall.com/lists/oss-security/2024/07/23/4
- http://www.openwall.com/lists/oss-security/2024/07/23/6
- http://www.openwall.com/lists/oss-security/2024/07/28/3
- https://crzphil.github.io/posts/ssh-obfuscation-bypass/
- https://lists.mindrot.org/pipermail/openssh-unix-announce/2024-July/000158.html
- https://news.ycombinator.com/item?id=41508530
- https://security.netapp.com/advisory/ntap-20240712-0004/
- https://www.openssh.com/txt/release-9.8
- https://www.openwall.com/lists/oss-security/2024/07/02/1
- http://www.openwall.com/lists/oss-security/2024/07/03/6
- http://www.openwall.com/lists/oss-security/2024/07/23/4
- http://www.openwall.com/lists/oss-security/2024/07/23/6
- http://www.openwall.com/lists/oss-security/2024/07/28/3
- https://lists.mindrot.org/pipermail/openssh-unix-announce/2024-July/000158.html
- https://security.netapp.com/advisory/ntap-20240712-0004/
- https://www.freebsd.org/security/advisories/FreeBSD-SA-25:01.openssh.asc
- https://www.openssh.com/txt/release-9.8
- https://www.openwall.com/lists/oss-security/2024/07/02/1