CVE-2020-29652

Versões do golang.org/x/crypto/ssh até v0.0.0-20201203163018-be400aefbc4c

Uma desreferência de ponteiro nulo no componente golang.org/x/crypto/ssh para Go permite que invasores remotos causem uma negação de serviço contra servidores SSH. Um invasor pode criar uma mensagem de solicitação de autenticação para o método gssapi-with-mic, o que fará com que o NewServerConn entre em pânico por meio de uma desreferência de ponteiro nulo se ServerConfig.GSSAPIWithMICConfig for nulo. Essa vulnerabilidade pode ser explorada por clientes para causar um pânico em servidores SSH.

Para as versões do golang.org/x/crypto/ssh até a v0.0.0-20201203163018-be400aefbc4c, considere desativar o método de autenticação gssapi-with-mic até que um patch esteja disponível para impedir que invasores remotos causem uma negação de serviço em servidores SSH. Além disso, certifique-se de que ServerConfig.GSSAPIWithMICConfig esteja configurado corretamente para evitar desreferências de ponteiro nulo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.