Informazioni sul CVE-2024-41909
Apache MINA SSHD: integrity check bypass
CWE ID: CWE-354
Base Score (CVSS): N/A
CVE: CVE-2024-41909
Descrizione: Come molte altre implementazioni SSH, Apache MINA SSHD soffriva del problema più noto come CVE-2023-48795. Un attaccante che può intercettare il traffico tra client e server poteva rilasciare determinati pacchetti dallo stream, potenzialmente causando che il client e il server finissero con una connessione per la quale alcune funzionalità di sicurezza siano ridotte o disabilitate, aka un Terrapin attacco Le mitigazioni implementate per prevenire questo tipo di attacco sono state implementate in Apache MINA SSHD 2.12.0, sia lato client che server. Gli utenti sono raccomandati ad aggiornare a almeno questa versione. Si noti che sia l’implementazione client che quella server devono avere le mitigazioni applicate a questo problema, altrimenti la connessione potrebbe ancora essere influenzata.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/apache/mina-sshd/issues/445
- https://lists.apache.org/thread/vwf1ot8wx1njyy8n19j5j2tcnjnozt3b
Prodotti interessati
- Apache Software Foundation – Apache MINA SSHD
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache Mina SSHD
Anno: 2024
CWE: CWE-354
CVSS: 0.0