CVE-2019-3862
CVE-2019-3862
Em resumo
O libssh2 tem uma falha que lê memória além dos limites permitidos ao processar certas respostas de um servidor SSH. Um servidor SSH comprometido pode travar seu cliente ou roubar dados de sua memória.
Detalhe técnico
Uma vulnerabilidade de leitura fora dos limites existe no libssh2 <1.8.1 durante o processamento de pacotes SSH_MSG_CHANNEL_REQUEST com status de saída e payload vazio. O vetor de ataque requer um servidor SSH comprometido ou malicioso; o impacto inclui negação de serviço e divulgação de informações da memória do processo cliente.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the way SSH_MSG_CHANNEL_REQUEST packets with an exit status message and no payload are parsed. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Produtos afetados
The libssh2 Project · libssh2Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.htmlhttp://packetstormsecurity.com/files/152136/Slackware-Security-Advisory-libssh2-Updates.htmlhttps://access.redhat.com/errata/RHSA-2019:1884https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3862https://lists.debian.org/debian-lts-announce/2019/03/msg00032.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XCWEA5ZCLKRDUK62QVVYMFWLWKOPX3LO/https://seclists.org/bugtraq/2019/Apr/25https://seclists.org/bugtraq/2019/Mar/25https://security.netapp.com/advisory/ntap-20190327-0005/https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2019-767