PT-2022-6957 · Unknown+3 · Golang.Org/X/Crypto/Ssh+3

Rod Hynes

·

Publicado

2022-01-10

·

Atualizado

2025-10-11

·

CVE-2021-43565

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do pacote golang.org/x/crypto/ssh anteriores à 0.0.0-20211202192323-5770296d904e
Descrição
A vulnerabilidade está relacionada à validação insuficiente de entradas no pacote golang.org/x/crypto/ssh, o que pode ser explorado por um invasor remoto para causar uma negação de serviço. Especificamente, ao usar AES-GCM ou ChaCha20Poly1305, o processamento de um pacote malformado com texto simples vazio pode causar um panic no servidor SSH. Um invasor não autenticado pode explorar isso para causar um panic no servidor SSH.
Recomendações
Para versões anteriores à 0.0.0-20211202192323-5770296d904e, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao servidor SSH ou implementar validação adicional nos pacotes recebidos para minimizar o risco de exploração.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

AZL-43338
AZL-43341
AZL-43344
AZL-43347
AZL-43348
BDU:2023-05839
CVE-2021-43565
GHSA-GWC9-M7RH-J2WW
GO-2022-0968
OPENSUSE-SU-2022:0040-1
OPENSUSE-SU-2022:0526-1
OPENSUSE-SU-2022_0040-1
OPENSUSE-SU-2022_0526-1
OPENSUSE-SU-2022_1689-1
OPENSUSE-SU-2024:11735-1
OPENSUSE-SU-2024:12034-1
OPENSUSE-SU-2025:15589-1
RHSA-2022:1276
RHSA-2022:1361
RHSA-2022:5068
SUSE-SU-2022:0040-1
SUSE-SU-2022:0130-1
SUSE-SU-2022:0526-1
SUSE-SU-2022:1507-1
SUSE-SU-2022:1689-1
SUSE-SU-2022_0040-1
SUSE-SU-2022_0130-1
SUSE-SU-2022_0526-1
SUSE-SU-2022_1507-1
SUSE-SU-2022_1689-1
SUSE-SU-2025:03540-1
SUSE-SU-2025:03545-1

Produtos afetados

Astra Linux
Debian
Suse
Golang.Org/X/Crypto/Ssh