-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [28-07-2023]: Vulnerabilidade no OpenSSH Prezados(as), O CAIS alerta a comunidade de segurança cibernética para uma vulnerabilidade encontrada no OpenSSH, através do recurso PKCS#11 no ssh-agent. Esta vulnerabilidade existe devido a uma correção incompleta para CVE-2016-10009. O OpenSSH é uma solução de conectividade para logon remoto, nos sistemas baseados em Linux, AIX, macOS, BSD, etc. fornecendo recursos de tunelamento seguro e métodos de autenticação. No recurso ssh-agent ficam armazenadas as chaves privadas usadas para autenticação de chave pública. 1) Produto(s) afetado(s); 2) Identificador CVE (http://cve.mitre.org); 3) Descrição da vulnerabilidade e formas de exploração; 4) Mitigação e correções disponíveis; 5) Maiores Informações 1) Produto(s) e versões afetadas afetado(s); OpenSSH na versão 9.3p2 e anteriores 2) Identificador CVE (http://cve.mitre.org); CVE-2023-38408 3) Descrição da vulnerabilidade; De acordo com o comunicado da OpenSSH, foi identificada uma vulnerabilidade no recurso PKCS#11 no ssh-agent. A exploração bem-sucedida dessa vulnerabilidade em um serviço exposto, pode permitir que um atacante com o controle do encaminhamento do "agent-socket" e a capacidade de gravar no sistema de arquivos do host do cliente, execute códigos arbitrários remotamente, obtendo os mesmos privilégios do usuário que está executando o serviço "ssh-agent". 4) Mitigação e correções disponíveis; Segundo a OpenSSH a exploração pode ser mitigada configurando o ssh-agent com uma lista de permissões PKCS#11/FIDO vazia (ssh-agent -P ''), ou configurando uma lista de permissões que contém apenas bibliotecas de provedores específicos. Recomenda-se executar as atualizações de correção disponibilizadas pelo fornecedor da solução. 5) Maiores Informações; https://access.redhat.com/security/cve/cve-2023-38408 https://www.openssh.com/security.html https://www.openssh.com/txt/release-9.3p2 https://www.openwall.com/lists/oss-security/2023/07/19/9 https://nvd.nist.gov/vuln/detail/cve-2016-10009 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://cais.rnp.br/ # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJkxDdYCRDU96v9U5pXgAAAgEUQAI3bJ9UoFJT+8Pa0QKd+ pHbz6uCNz3ZjQAFWoghJ2kwpfJGxCuTUwuDUKFbyFdSgHXpUpvfWGjCbDDJz rEJ+TOs/k4pxAtxwr0hQZBHEXCqBfcHjhmIaZ0LGh9EjLxlv7BL/ZhSg3BB6 p9RRWRtNXok+b6oshd2sAQ7zR6+mnQ+wUrgjUmF6YGoN00RSpBNb4iH4fKOi 0BkZ97XFaLRigbU92LpDGoV+AyS1J+nZahWjtj5HtbnNyRLEs1ighTKUL4oa mrxDBxrVuPCx8qE9iKt0PKEjc78pnh3Kezc7HVIzlWy+8BcmUBWrja0++jY4 /fyrEAbLZChy7ZQi33AQTo5kiR5wrdwxS0+1FWxNYDtClGqQ5zDJV6SfCP/Q KqcQZxHoLSZzymQOwfFXk4+K/nOiBuLHbLfQ31QtzaROJQZbGey2dMsOCTeJ pF2sPDhSfwhjoC58STOYskUM77yS5i5IBl4K+Gv9sDm7xnVT/r7rE06Qnrr6 f2Y+35MwFR0A+WUvpUy0Umb48CRJR5orAXMps/+BXv4nnDIHD9XPtqQ9Gdey T4rVZm6HXtrzqizLCP6x3bdKjB22itYBZDcXxS12QW/3kpGT7ix7gtUnU1Mx lpcMyNrNbhp23DUUWLomN+OawkWU7PPf+4zn7i0vyFZkyti9DqPrCqMS02CL naHA =g6LW -----END PGP SIGNATURE-----