PT-2020-2220 · Libssh+6 · Libssh+6

Publicado

2020-02-12

·

Atualizado

2024-06-15

·

CVE-2020-1730

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões da libssh anteriores à 0.8.9
Versões da libssh anteriores à 0.9.4
Descrição
O problema está relacionado ao consumo descontrolado de recursos na biblioteca libssh. Ele pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade decorre da maneira como o libssh lida com as cifras AES-CTR (ou cifras DES, se habilitadas), podendo causar a falha do servidor ou do cliente quando a conexão não foi totalmente inicializada e o sistema tenta limpar as cifras ao fechar a conexão. A maior ameaça decorrente deste problema é a disponibilidade do sistema.
Recomendações
Para versões da libssh anteriores à 0.8.9, atualize para a versão 0.8.9 ou posterior.
Para versões da libssh anteriores à 0.9.4, atualize para a versão 0.9.4 ou posterior.

Exploit

Correção

NULL Pointer Dereference

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476CWE-400

Identificadores relacionados

ALT-PU-2021-1788
ALT-PU-2021-1906
ALT-PU-2021-2381
ALT-PU-2021-2382
ALT-PU-2021-3669
ALT-PU-2021-3670
BDU:2020-02135
CESA-2020_4545
CVE-2020-1730
MGASA-2020-0171
OPENSUSE-SU-2020:0510-1
OPENSUSE-SU-2020_0510-1
OPENSUSE-SU-2024:11603-1
RHSA-2020:4545
RHSA-2020:5218
RHSA-2020_4545
RLSA-2020:4545
SUSE-SU-2020:0967-1
SUSE-SU-2020:0968-1
SUSE-SU-2020_0967-1
SUSE-SU-2020_0968-1
SUSE-SU-2024:0525-1
SUSE-SU-2024:0539-1
USN-4327-1

Produtos afetados

Alt Linux
Centos
Red Hat
Rocky Linux
Suse
Ubuntu
Libssh