Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
OpenSSH 7.0 repara 4 fallos
Una nueva versión de OpenSSH está disponible, corrige 4 vulnerabilidades de seguridad y numerosos fallos de otra índole.
OpenSSH 7.0 incluye parches para una vulnerabilidad Use-after-free y otros 3 fallos, 2 de los cuales afectan a OpenSSH portable. Los proveedores del software también dieron a los usuarios la noticia de que la siguiente versión del software dejará de emplear varias suites de cifrado obsoletas y algoritmos criptográficos que ya no son considerados seguros.
Una de las vulnerabilidades parchadas en la versión 7.0 es un fallo que involucra la forma en que OpenSSH maneja algunas peticiones de autenticación.
"Mediante la especificación de una larga cadena "devices" que repite el teclado interactivo, al repetir en el teclado interactivo la cadena 'devices', un atacante puede solicitar el mismo método de autenticación empleando miles de veces una contraseña sencilla. También se corrigió el tiempo de espera LoginGraceTime en sshd (8) y retrasos por fallo en la autenticación", indica la nota.
Uno de los fallos que afecta sólo a Portable OpenSSH es un use after free (uso después de la liberación) que puede dirigir a ejecución de código remoto.
"Se reparó un fallo use after free relacionado con el soporte para PAM que pudo ser utilizado por atacantes para comprometer el proceso de preautenticación con el objetivo de lograr ejecución remota de código", indica el aviso. La segunda vulnerabilidad en Portable OpenSSH también puede dirigir a ejecución remota de código.
"Se corrigió el fallo en la separación de privilegios relacionado con el soporte para PAM. Los atacantes que lograran comprometer exitosamente el proceso de preautenticación mediante la ejecución remota de código y quienes tuvieran credenciales válidas en el servidor podrían haberse hecho pasar por otros usuarios", indica el aviso.
En OpenSSH 7.1 los proveedores planean remover numerosos algoritmos criptográficos y métodos de cifrado. Entre los cambios realizados, está:
- Rechazar todas las llaves RSA más pequeñas que 1024 bits (el mínimo actual es de 768 bits).
- Deshabilitar varios métodos de cifrado por defecto: blowfish-cbc, cast128-cbc, todas las variantes de arcfour y los alias rinjdael-cbc para AES.
- Los algoritmos MD5 basados en HMAC serán deshabilitados de forma predeterminada.
En la recién lanzada versión 7.0, también hay un número de cambios criptográficos. El software deshabilita la llave de intercambio predeterminada de 2014 bits diffie-hellman-group1-sha1 y también elimina el soporte para la antigua versión uno del protocolo SSH.
