Michał Wąsowski

**Nome do Software Vulnerável e Versões Afetadas** Erlang OTP versões 17.0 até 29.0.1 Erlang OTP versões anteriores a 28.5.0.2 Erlang OTP versões anteriores a 27.3.4.13 **Description** Um problema no módulo `ssh sftpd` permite a descoberta de arquivos através da exposição de informações sensíveis. O manipulador `SSH FXP READLINK` envia o resultado bruto da função `file:read link/2` para o cliente sem utilizar `chroot filename/2` para remover o prefixo da raiz do backend. Consequentemente, um cliente SFTP autenticado pode criar um link simbólico dentro do chroot apontando para `/`, e a leitura desse link via `SSH FXP READLINK` retorna o caminho absoluto da raiz do backend (ex: `/data/sftp`) em vez do valor chrooted `/`. Isso expõe o caminho absoluto do sistema de arquivos do diretório raiz do SFTP e de quaisquer alvos de links simbólicos dentro dele, embora o conteúdo de arquivos, credenciais e caminhos fora do diretório raiz permaneçam inacessíveis. Este problema está associado ao arquivo `lib/ssh/src/ssh sftpd.erl` e requer que o subsistema SFTP esteja habilitado com a opção `root` configurada na chamada `ssh sftpd:subsystem spec/1`. **Recommendations** Atualize o Erlang OTP para a versão 29.0.2 ou posterior. Atualize o Erlang OTP para a versão 28.5.0.2 ou posterior. Atualize o Erlang OTP para a versão 27.3.4.13 ou posterior. Utilize chroot ao nível do sistema operacional para executar a VM Erlang ou o processo do servidor SFTP em um ambiente de sistema de arquivos isolado. Garanta que a porta do servidor SFTP não esteja acessível a partir de máquinas não confiáveis. Certifique-se de que nenhuma informação sensível possa ser inferida a partir do caminho absoluto do diretório raiz configurado.

**Nome do Software Vulnerável e Versões Afetadas** Erlang/OTP versões 29.0 até 29.0.1 ssh versões 6.0 até 6.0.0 **Description** Um canal lateral de temporização na autenticação de senha permite que atacantes remotos não autenticados enumerem nomes de usuário. Quando o daemon SSH é configurado com a opção `user passwords` ou `password`, a função `check password/3()` no módulo `ssh auth` realiza um cálculo PBKDF2-SHA256 para nomes de usuário válidos, levando aproximadamente 300ms. Por outro lado, para nomes de usuário inválidos, a função `get password option/2()` no módulo `ssh options` retorna imediatamente. Essa discrepância permite que um atacante distinga entre nomes de usuário válidos e inválidos em uma única tentativa. **Recommendations** Atualize o Erlang/OTP para a versão 29.0.2 ou posterior. Atualize o ssh para a versão 6.0.1 ou posterior. Use a opção `pwdfun` em vez de `user passwords` para autenticação de senha. Restrinja o acesso à porta SSH apenas a redes confiáveis por meio de regras de firewall.

**Name of the Vulnerable Software and Affected Versions** Erlang OTP versões 17.0 até 28.4.3 Erlang OTP versões 17.0 até 27.3.4.11 Erlang OTP versões 17.0 até 26.2.5.20 **Description** Uma falha de path traversal no módulo `ssh sftpd` do Erlang OTP ssh permite que um usuário SFTP autenticado modifique atributos de arquivos fora do diretório chroot configurado. O daemon SFTP armazena o caminho bruto fornecido pelo usuário em handles de arquivo em vez do caminho resolvido pelo chroot. Quando o `SSH FXP FSETSTAT` é emitido em tal handle, os atributos do arquivo (permissões, propriedade, timestamps) são modificados no caminho real do sistema de arquivos, ignorando completamente o limite do diretório raiz. Isso requer que o servidor esteja configurado com a opção root e que o arquivo alvo exista no sistema de arquivos real no mesmo caminho relativo. Esta falha permite apenas a modificação de atributos de arquivos; o conteúdo dos arquivos não pode ser lido ou alterado. Se o daemon SSH for executado como root, um invasor pode obter escalonamento de privilégios ao definir o bit setuid em binários, alterar a propriedade de arquivos sensíveis ou tornar configurações do sistema graváveis por qualquer usuário. O problema está associado ao arquivo `lib/ssh/src/ssh sftpd.erl` e às funções `ssh sftpd:do open/4` e `ssh sftpd:handle op/4`. **Recommendations** Atualize o Erlang OTP para uma versão posterior a 28.4.3, 27.3.4.11 ou 26.2.5.20, dependendo do ramo de lançamento. Não utilize a opção root em `ssh sftpd:subsystem spec/1` e, em vez disso, utilize chroot em nível de SO ou isolamento de container para confinar usuários SFTP. Certifique-se de que a VM Erlang não esteja sendo executada como um usuário de SO privilegiado para limitar o impacto das modificações de atributos.

**Name of the Vulnerable Software and Affected Versions** Erlang OTP versions 17.0 through 28.4.1 Erlang OTP versions 26.2.5.18 through 27.3.4.9 **Description** An improper limitation of a pathname to a restricted directory, specifically a 'Path Traversal' issue, exists in the Erlang OTP `ssh sftpd` module. The SFTP server uses string prefix matching with the `lists:prefix/2` function instead of proper path component validation when verifying if a path is within the configured root directory. This allows authenticated users to access sibling directories that share a common name prefix with the configured root directory. For example, if the root directory is set to `/home/user1`, paths like `/home/user10` or `/home/user1 backup` could be incorrectly considered within the root. The issue is associated with the program file `lib/ssh/src/ssh sftpd.erl` and the `ssh sftpd:is within root/2` function. **Recommendations** Update Erlang OTP to a version later than 28.4.1. Update Erlang OTP to a version later than 27.3.4.9. Update Erlang OTP to a version later than 26.2.5.18.

**Name of the Vulnerable Software and Affected Versions** Erlang OTP versions 17.0 through 28.4.1 Erlang OTP versions 26.2.5.18 through 27.3.4.9 **Description** An issue exists in Erlang OTP ssh (ssh transport modules) that allows for Denial of Service via Resource Depletion. The SSH transport layer, by default, advertises legacy zlib compression and inflates attacker-controlled payloads without a size limit before authentication. This enables a reliable memory exhaustion attack. Two compression algorithms are affected: zlib, which activates immediately after key exchange, and zlib@openssh.com, which activates post-authentication. Each SSH packet can decompress approximately 255 MB from 256 KB of data, resulting in a 1029:1 amplification ratio. Multiple packets can quickly exhaust available memory, potentially causing Out-Of-Memory (OOM) kills in environments with limited memory. The issue is associated with the `ssh transport.erl` file and the `ssh transport:decompress/2` and `ssh transport:handle packet part/4` routines. **Recommendations** Update Erlang OTP to a version later than 28.4.1. Update Erlang OTP to a version later than 27.3.4.9.