PT-2022-6958 · Google+9 · Golang.Org/X/Crypto/Ssh+9
Filippo Valsorda
·
Publicado
2022-03-15
·
Atualizado
2026-04-01
·
CVE-2022-27191
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Pacote golang.org/x/crypto/ssh anterior à versão 0.0.0-20220314234659-1baeb1ce4c0b para Go
Versões do golang.org/x/crypto/ssh até a 1.16.15
Versões do golang.org/x/crypto/ssh de 1.17.x até 1.17.8
Descrição
O problema está relacionado ao uso de algoritmos criptográficos defeituosos no pacote golang.org/x/crypto/ssh, o que pode causar uma falha nos servidores SSH em determinadas circunstâncias envolvendo AddHostKey. Um invasor pode explorar isso para causar uma falha no servidor. A vulnerabilidade é acionada quando um Signer é passado para ServerConfig.AddHostKey que não implementa AlgorithmSigner e retorna uma chave do tipo “ssh-rsa” a partir de seu método PublicKey.
Recomendações
Para o pacote golang.org/x/crypto/ssh anterior à versão 0.0.0-20220314234659-1baeb1ce4c0b, atualize para uma versão posterior a 0.0.0-20220314234659-1baeb1ce4c0b.
Para versões do golang.org/x/crypto/ssh até 1.16.15, atualize para uma versão posterior a 1.16.15.
Para as versões 1.17.x a 1.17.8 do golang.org/x/crypto/ssh, atualize para uma versão posterior à 1.17.8.
Como solução alternativa temporária, considere restringir o uso da função AddHostKey com Signers que não implementem o AlgorithmSigner até que um patch esteja disponível.
Correção
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Red Hat
Red Os
Rocky Linux
Suse
Golang.Org/X/Crypto/Ssh