La firma sudafricana acaba de lanzar un actualización importante para los paquetes OpenSSH —un conjunto de protocolos de seguridad para comunicaciones entre redes— de Ubuntu 15.10 (Wily Werewolf), 14.04 LTS (Trusty Tahr) y Ubuntu 12.04 LTS (Precise Pangolin). Esta actualización viene para parchar un total de 4 vulnerabilidades. Estos fallos de seguridad aparentemente críticos fueron descubiertos en la implementación de OpenSSH que en Ubuntu nos permite acceder remotamente a otras máquinas de forma segura.
- La primera vulnerabilidad (CVE-2015-8325) fue descubierta por Shayan Sadigh, afectando la manera en que OpenSSH maneja los archivos de entorno, causando que cuando la función UseLogin se hallase activada estos fallaran, permitiendo a un atacante ganar acceso root.
- La segunda vulnerabilidad (CVE-2016-1907), que afecta solamente a Ubuntu 15.10 (Wily Werewolf), fue descubierta por Ben Hawkes, afectando la manera en que OpenSSH maneja el tráfico de red, el cuál podría haber permitido a un atacante remoto provocar un cuelgue del servidor OpenSSH y causar a una denegación de servicio.
- La tercera vulnerabilidad (CVE-2016-1908) fue descubierta por Thomas Hoger y afecta la forma en que OpenSSH maneja datos de redirección de X11 no confiables, los cuales fallaban si la extensión SECURITY se hallaba desactivada. Debido a esto una conexión que no confiable podía hacerse pasar por una de confianza.
- La cuarta y última vulnerabilidad (CVE-2016-3115) afecta también a la forma en que OpenSSH maneja redirecciones de X11 que no son de confianza, esta brecha de seguridad pudo haber permitido a un atacante remoto autenticado evitar ciertas restricciones de mando.
Ya deberías estar actualizando
Canonical urge a todos los usuarios de las ya mencionadas versiones de Ubuntu afectadas a actualizar sus paquetes OpenSSH lo más antes posible. Los parches ya están disponibles en los repositorios oficiales listos para su instalación, pero si prefieres usar la terminal (Ctrl+Alt+T) copia y pega el siguiente comando en la consola:[code type="Linux terminal"]sudo apt-get update & sudo apt-get dist-upgrade[/code]
Vía: Softpedia