Múltiples vulnerabilidades en HP-UX Secure Shell de HPE
Fecha de publicación 06/09/2024
Importancia
5 - Crítica
Recursos Afectados
HP-UX 11i Secure Shell Software A.08.10.009 y versiones anteriores.
Descripción
HPE ha publicado un boletín de seguridad con 10 nuevas vulnerabilidades, 2 de ellas críticas, 2 altas y el resto medias. La explotación de estas vulnerabilidades podría provocar la evasión de restricciones de acceso, ejecución arbitraria de comandos, modificación arbitraria de archivos o evasión de autenticación, entre otros.
Solución
Actualizar HP-UX Secure Shell a la versión A.09.30.003.
Detalle
A continuación, se detallan las vulnerabilidades críticas:
- CVE-2021-31580: el shell restringido proporcionado por Akkadian Provisioning Manager Engine (PME) puede eludirse cambiando el canal OpenSSH de 'shell' a 'exec' y proporcionando al cliente ssh un único parámetro de ejecución.
- CVE-2023-38408: la función PKCS#11 en ssh-agent en OpenSSH antes de 9.3p2 tiene una ruta de búsqueda con insuficiente fiabilidad, lo que lleva a la ejecución remota de código si un agente se reenvía a un sistema controlado por un atacante.
La información sobre el resto de vulnerabilidades se puede consultar en las referencias.
Listado de referencias
