Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función ssh_agent_channel_data en PuTTY (CVE-2017-6542)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-119 Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
27/03/2017
Última modificación:
20/04/2025

Descripción

La función ssh_agent_channel_data en PuTTY en versiones anteriores a 0.68 permite a atacantes remotos tener un impacto no especificado a través de un valor de longitud grande en un mensaje de protocolo de agente y aprovechando la capacidad para conectarse al socket de Unix-domain que representa la conexión de agente reenviada, lo que desencadena un desbordamiento de búfer.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:putty:putty:*:*:*:*:*:*:*:* 0.67 (incluyendo)
cpe:2.3:o:opensuse:leap:42.2:*:*:*:*:*:*:*
cpe:2.3:o:opensuse_project:leap:42.1:*:*:*:*:*:*:*