← volver
CVE-2019-3862

CVE-2019-3862

CVSS 7.3 HIGHEPSS 8.1%CWE-130
En resumen

libssh2 tiene una flaw donde lee memoria más allá de los límites permitidos al procesar ciertas respuestas de servidor SSH. Un servidor SSH comprometido puede bloquear tu cliente o robar datos de su memoria.

Detalle técnico

Existe una vulnerabilidad de lectura fuera de límites en libssh2 <1.8.1 durante el análisis de paquetes SSH_MSG_CHANNEL_REQUEST con estado de salida y payload vacío. El vector de ataque requiere un servidor SSH comprometido o malicioso; el impacto incluye denegación de servicio y divulgación de información de la memoria del proceso cliente.

Resumen generado y traducido por IA a partir de la descripción oficial.
An out of bounds read flaw was discovered in libssh2 before 1.8.1 in the way SSH_MSG_CHANNEL_REQUEST packets with an exit status message and no payload are parsed. A remote attacker who compromises a SSH server may be able to cause a Denial of Service or read data in the client memory.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Productos afectados
The libssh2 Project · libssh2

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00040.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00003.htmlhttp://packetstormsecurity.com/files/152136/Slackware-Security-Advisory-libssh2-Updates.htmlhttps://access.redhat.com/errata/RHSA-2019:1884https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3862https://lists.debian.org/debian-lts-announce/2019/03/msg00032.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5DK6VO2CEUTAJFYIKWNZKEKYMYR3NO2O/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XCWEA5ZCLKRDUK62QVVYMFWLWKOPX3LO/https://seclists.org/bugtraq/2019/Apr/25https://seclists.org/bugtraq/2019/Mar/25https://security.netapp.com/advisory/ntap-20190327-0005/https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2019-767