PT-2024-6687 · Openssh+7 · Openssh+7

Alastair Beresford

+3

·

Publicado

2024-06-24

·

Atualizado

2025-05-07

·

CVE-2024-39894

CVSS v2.0

7.6

Alta

VetorAV:N/AC:H/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Versões 9.5 a 9.7 do OpenSSH
Descrição:
O problema está relacionado a um erro de lógica na função ObscureKeystrokeTiming, o que pode levar a ataques de temporização contra a entrada de senha com echo desativado, como aqueles usados para su e Sudo. Isso poderia permitir que um invasor obtivesse acesso não autorizado a informações protegidas, explorando a discrepância de temporização. Da mesma forma, outros ataques de temporização contra a entrada de teclas poderiam ocorrer devido a esse erro de lógica.
Recomendações:
Para as versões 9.5 a 9.7 do OpenSSH, atualize para a versão 9.8 ou posterior para resolver o problema. Como solução temporária, considere desativar a função ObscureKeystrokeTiming até que um patch esteja disponível. Restrinja o acesso a informações confidenciais e limite o uso dos comandos su e Sudo para minimizar o risco de exploração.

Correção

Side Channel Attack

Time Of Check To Time Of Use

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-203CWE-367

Identificadores relacionados

AZL-43140
BDU:2024-07894
CVE-2024-39894
FREEBSD-SA-25_01
OPENSUSE-SU-2024:14113-1
SUSE-SU-2024:2393-1
SUSE-SU-2025:20009-1
USN-6887-1

Produtos afetados

Astra Linux
Freebsd
Linuxmint
Apple Macos
Openssh
Red Os
Suse
Ubuntu