Se ha descubierto la existencia de una vulnerabilidad remota sobre SSH
que está siendo ampliamente explotada. Esta vulnerabilidad puede
permitir a los atacantes remotos la ejecución de código arbitrario en el
sistema afectado sin necesidad de poseer ningún conocimiento específico
de la máquina.
El 30 de junio de 2001 Hispasec ya aviso a través de una-al-dia de la
existencia de este problema en los dispositivos Cisco afectados. La
existencia in the wild de herramientas para rastrear y explotar dicha
vulnerabilidad evidencian la necesidad de paliar este problema.

Según ha desvelado X-Force de ISS, existe un exploit para hacer uso de
esta vulnerabilidad que está siendo empleado in the wild. La naturaleza
de esta vulnerabilidad se combina con la confusión sobre las versiones
de los productos SSH y sus parches.

La vulnerabilidad existe en las versiones afectadas de SSH cuando los
cálculos enteros no se manejan de forma adecuada, lo que provoca una
condición de desbordamiento de búfer. Explotar esta vulnerabilidad se
considera extremadamente difícil, aunque no imposible.

Se recomienda examinar todas las configuraciones para determinar si SSH
Version 1 está activa, recomendándose la actualización a la nueva SSH
Versión 2. Si SSH Versión 1 no se emplea desactivar fallback y elimnar
los antiguos binarios sshd Versión 1.

Es posible mitigar esta vulnerabilidad mediante la prevención,
intercepción o teniendo el control sobre el tráfico SSH.

Para switches Catalyst 6000 todas las vulnerabildiades quedan
eliminadas con las versiones 6.1(2.13), 6.2(0.111) and 6.3(0.7)PAN
de CatOS.

Para PIX Firewall se recomiendan las siguientes actualizaciones
dependiendo de la versión del software:
Para 5.2 se encuentra disponible la actualización a 5.2(5)203,
aunque se recomienda actualizar a 5.2.(6) disponible en agosto.
Para 5.2 se encuentra disponible la actualización a 5.3(1)202,
aunque se recomienda actualizar a 5.3.(1) disponible en agosto.
Para 6.0 se recomienda actualizar a 6.0(1) ya disponible.

Para el resto de productos, dada la cantidad de versiones
diferentes del software, se recomienda consultar la tabla
disponible en la dirección:
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html

Antonio Ropero
antonior@hispasec.com

Más información:

Aviso de ISS:
http://xforce.iss.net/alerts/advise100.php

Aviso de seguridad de Cisco:
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html

Compártelo: