ASA-2019-00149 – libssh2: Out-of-bounds read com pacotes SSH especialmente criados

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00149

Identificador(es)

ASA-2019-00149, CVE-2019-3861

Título

Out-of-bounds read com pacotes SSH especialmente criados

Fabricante(s)

The libssh2 project

Produto(s)

libssh2

Versão(ões) afetada(s)

libssh2 versões 0.15 até e incluindo 1.8.0

Versão(ões) corrigida(s)

libssh2 1.8.1

Prova de conceito

Desconhecida

Descrição

Um servidor pode enviar um pacote SSH especialmente criado com um valor de comprimento de preenchimento maior que o tamanho do pacote. Isso resultaria em um out-of-bounds read ao descompactar o pacote ou resultar em um valor de pacote corrompido (CWE-130).

Detalhes técnicos

Desconhecido

Créditos

Chris Coulson (Canonical Ltd)

Referência(s)

libssh2 Security Advisory: CVE-2019-3861
https://www.libssh2.org/CVE-2019-3861.html

[SECURITY ADVISORIES] libssh2
https://seclists.org/oss-sec/2019/q1/184

Security fixes (#315) · libssh2/libssh2@dc109a7
https://github.com/libssh2/libssh2/commit/dc109a7f518757741590bb993c0c8412928ccec2

Security fixes by willco007 · Pull Request #315 · libssh2/libssh2
https://github.com/libssh2/libssh2/pull/315

libssh2 Security Advisory: CVE-2019-3862
https://www.libssh2.org/CVE-2019-3860.html

[SECURITY ADVISORIES] libssh2
https://seclists.org/oss-sec/2019/q1/184

Security fixes (#315) · libssh2/libssh2@dc109a7
https://github.com/libssh2/libssh2/commit/dc109a7f518757741590bb993c0c8412928ccec2

Security fixes by willco007 · Pull Request #315 · libssh2/libssh2
https://github.com/libssh2/libssh2/pull/315

CVE-2019-3861
https://access.redhat.com/security/cve/CVE-2019-3861

CVE-2019-3861
https://security-tracker.debian.org/tracker/CVE-2019-3861

CVE-2019-3861 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-3861.html

CVE-2019-3861 | SUSE
https://www.suse.com/security/cve/CVE-2019-3861

CVE-2019-3861
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3861

CVE-2019-3861
https://nvd.nist.gov/vuln/detail/CVE-2019-3861

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 19 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.