Vulnerabilidad en el paquete golang.org/x/crypto/ssh en Go en golang.org/x/crypto (CVE-2020-9283)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/02/2020
Última modificación:
07/11/2023
Descripción
golang.org/x/crypto versiones anteriores a v0.0.0-20200220183623-bac4c82f6975, para Go permite un pánico durante la comprobación de firma en el paquete golang.org/x/crypto/ssh. Un cliente puede atacar un servidor SSH que acepte claves públicas. Además, un servidor puede atacar a cualquier cliente SSH.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:golang:package_ssh:0.0.0-20200220183623-bac4c82f6975:*:*:*:*:*:*:* | ||
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/156480/Go-SSH-0.0.2-Denial-Of-Service.html
- https://groups.google.com/forum/#%21topic/golang-announce/3L45YRc91SY
- https://lists.debian.org/debian-lts-announce/2020/10/msg00014.html
- https://lists.debian.org/debian-lts-announce/2020/11/msg00027.html
- https://lists.debian.org/debian-lts-announce/2020/11/msg00031.html
- https://lists.debian.org/debian-lts-announce/2023/06/msg00017.html