Coreyleavitt

**Nome do Software Vulnerável e Versões Afetadas** Russh versões anteriores a 0.60.1 **Descrição** Um problema de negação de serviço (DoS) de pré-autenticação existe no manipulador de autenticação interativa de teclado do servidor. Um cliente malicioso pode travar qualquer servidor baseado nesta biblioteca que implemente a autenticação interativa de teclado (como para 2FA/TOTP) enviando um único pacote malformado, sem a necessidade de credenciais. O problema ocorre na função `read userauth info response()` em `russh/src/server/encrypted.rs`, onde o servidor decodifica uma contagem `u32` do `SSH MSG USERAUTH INFO RESPONSE` do cliente e a passa diretamente para `Vec::with capacity()`. Um invasor pode fornecer um valor muito alto para essa contagem, forçando o servidor a tentar uma alocação de memória massiva (por exemplo, 6,4 GB), o que leva a um travamento por falta de memória (Out-of-Memory - OOM). **Recomendações** Atualize para a versão 0.60.1. Como medida paliativa temporária, restrinja o uso da implementação `Handler::auth keyboard interactive` caso ela retorne `Auth::Partial` até que a atualização seja aplicada.