Alert GCSA-16002 - Vulnerabilità in OpenSSH
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-16002
Data: 18 Gennaio 2016
Titolo: Vulnerabilità in OpenSSH
******************************************************************
:: Descrizione del problema
Sono state scoperte due vulnerabilità nel software Openssh.
Le vulnerabilità permetterebbero ad un server OpenSSH attraverso
una connessione autenticata e sotto particolari condizioni, di
ottenere informazioni potenzialmente sensibili prese dalla memoria
del client OpenSSH tra cui ad esempio anche la chiave privata
dell'utente in uso.
Maggiori dettagli sono disponibili nella segnalazioni ufficiali
alla sezione "Riferimenti".
:: Software interessato
OpenSSH versioni dalla 5.4 alla 7.1
Le versioni precedenti non sono affette dalle vulnerabilità
:: Impatto
Accesso ad informazioni sensibili
:: Soluzioni
E' stata resa disponibile una nuova versione del software:
OpenSSH 7.1p2
Nelle versioni dalla 5.4 comprese è possibile mitigare il problema
disabilitando la funzionalità di roaming in uno dei seguenti modi:
- 'UseRoaming no' nel file di configurazione ssh_config(5)
- 'UseRoaming no' nel file di configurazione utente ~/.ssh/config
- usando -oUseRoaming=no a linea di comando
:: Riferimenti
OpenSSH Advisory
http://www.openssh.com/txt/release-7.1p2
SecurityTracker
http://securitytracker.com/id/1034671
Security Focus
http://www.securityfocus.com/archive/1/537283/30/0/threaded
SANS ISC Diary
https://isc.sans.edu/forums/diary/OpenSSH+71p2+released+with+security+fix+for+CVE20160777/20613/
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0777
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0778
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAlacyJ4ACgkQwZxMk2USYEIeygCfaxkxj4qfV1Kf2WZE4wk3sdfj
1hwAnibuKzG5XVdQ5ZuLxh6qB7COaC+C
=mRps
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-16002
Data: 18 Gennaio 2016
Titolo: Vulnerabilità in OpenSSH
******************************************************************
:: Descrizione del problema
Sono state scoperte due vulnerabilità nel software Openssh.
Le vulnerabilità permetterebbero ad un server OpenSSH attraverso
una connessione autenticata e sotto particolari condizioni, di
ottenere informazioni potenzialmente sensibili prese dalla memoria
del client OpenSSH tra cui ad esempio anche la chiave privata
dell'utente in uso.
Maggiori dettagli sono disponibili nella segnalazioni ufficiali
alla sezione "Riferimenti".
:: Software interessato
OpenSSH versioni dalla 5.4 alla 7.1
Le versioni precedenti non sono affette dalle vulnerabilità
:: Impatto
Accesso ad informazioni sensibili
:: Soluzioni
E' stata resa disponibile una nuova versione del software:
OpenSSH 7.1p2
Nelle versioni dalla 5.4 comprese è possibile mitigare il problema
disabilitando la funzionalità di roaming in uno dei seguenti modi:
- 'UseRoaming no' nel file di configurazione ssh_config(5)
- 'UseRoaming no' nel file di configurazione utente ~/.ssh/config
- usando -oUseRoaming=no a linea di comando
:: Riferimenti
OpenSSH Advisory
http://www.openssh.com/txt/release-7.1p2
SecurityTracker
http://securitytracker.com/id/1034671
Security Focus
http://www.securityfocus.com/archive/1/537283/30/0/threaded
SANS ISC Diary
https://isc.sans.edu/forums/diary/OpenSSH+71p2+released+with+security+fix+for+CVE20160777/20613/
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0777
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0778
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAlacyJ4ACgkQwZxMk2USYEIeygCfaxkxj4qfV1Kf2WZE4wk3sdfj
1hwAnibuKzG5XVdQ5ZuLxh6qB7COaC+C
=mRps
-----END PGP SIGNATURE-----