Vulnerabilidad en OpenSSH


Un grupo de investigadores del Information Security Group (ISG) de la Universidad Royal Holloway de Londres acaba de hacer público un fallo en el ampliamente utilizado protocolo de comunicación SSH.





El fallo se ha encontrado en la versión 4.7 de OpenSSH y recomiendan que todos los usuarios actualicen a la versión 5.2 ya que ofrece varias contra-medidas que pueden evitar un ataque. Pueden ser vulnerables también otras implementaciones de SSH, según el grupo de seguridad londinense.

Enviando paquetes especialmente manipulados, un atacante tiene una probabilidad entre 262.144 de recuperar 32 bits de texto plano de un texto previamente cifrado, de forma arbitraria. "Es un fallo de diseño de OpenSSH. Las otras vulnerabilidades han sido más por errores de codificación." Declaró Patterson, profesor del ISG. Queda claro que las probabilidades son muy limitadas. Pero el fallo de diseño sigue planteando una amenaza significativa, dada la forma en que muchas aplicaciones emplean SSH.

En los avisos de seguridad del CPNI y de OpenSSH recomiendan configurar OpenSSH usando AES en modo CTR, que no es vulnerable a este ataque. Ésta será la configuración por defecto en las siguientes versiones.

Enlaces:
http://www.historiasdequeso.com/2009/05/descubierta-nueva-vulnerabilidad-en-openssh.html

http://www.openssh.com/

Fuente:
http://barrapunto.com/



Otras noticias de interés:

Nuevo exploit en procesadores Intel
Los investigadores Joanna Rutkowska y Loic Duflot van a publicar un informe con los descubrimientos que han realizado respecto a los procesadores Intel que permitiría hacer una escalada de privilegios....
Transformando la seguridad informática en inteligencia de seguridad
Estaba hoy dándole vueltas a un asunto que desde hace un tiempo me ronda por la cabeza. Los tiempos, como todos sabemos, cambian, y cambian las personas, cambia todo. Y cuando las cosas cambian, pues ya lo dice el refranero, Renovarse o morir, es de...
Ejecución remota de código en Windows a través del motor de fuentes OpenType incrustadas
Tal y como adelantamos, este martes Microsoft solo ha publicado un boletín de seguridad (el MS10-001) correspondiente a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft esta actualización presenta un nivel de grave...
El porqué de los parches para las vulnerabilidades
La aparición del gusano Conficker ha puesto en alerta a todos los usuarios sobre la importancia de actualizar el sistema operativo, cuyas vulnerabilidades pueden ser explotadas para propagar malware. Sin embargo, la última semana, nuevas vulnerabil...
Google: Aumenta la vigilancia gubernamental de Internet
El gigante informático Google afirmó hoy que la vigilancia de los gobiernos sobre los contenidos en sus páginas de Internet está claramente en alza, con Estados Unidos a la cabeza, al publicar su informe de transparencia de la primera mitad de 20...
La UE quiere que los ciberdelitos sean castigados
El Comité de Libertades Civiles de la Unión Europea pretende armonizar las penas por delitos informáticos. Así, acaba de aprobar una propuesta que pretende que los ciberdelitos tengan una pena de al menos dos años de prisión. Ahora, un comité ...
La geolocalización amenaza la privacidad
Los usuarios de teléfonos inteligentes están asumiendo, sin saberlo, el riesgo de ofrecer información de su vida cotidiana. Las cámaras de los smartphones que contienen la tecnología GPS de localización en el interior ya están equipadas con el...
Segundo Congreso Nacional de Software Libre (Venezuela 2006)
Los próximos días viernes 16 y sábado 17 de Junio de este año estará desarrollandose en Valencia - Carabobo el 2do. CNSL....
Posible vulnerabilidad en lectores de archivos PDF
Se ha reportado una vulnerabilidad relacionada con Acrobat Reader y posiblemente otros lectores PDF, que podría ser utilizada para tomar el control completo del sistema a través de un documento maliciosamente construido. ...
Detectan incompatibilidades de IE7 con otros programas
Varias empresas dan cuenta de problemas de compatibilidad después de instalar el nuevo navegador de Microsoft. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • openssh
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra