Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 5349 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

OpenSSH 6.2 and 6.3 AES-GCM Cipher Memory Corruption

stephendreality
We have recently ran a Nessus scan against our UTM box that flagged a potentially high vulnerability that OpenSSH is out of date and could be affected by memory corruption.

We were wondering whether this is something that will/has been patched via a UTM update, or something we have to patch ourselves?


This thread was automatically locked due to age.
Parents
  • 0
    I just recently scanned our 9.310-11 and received the same warnings about the OpenSSH AES-GCM Cipher (CVE-2013-4548) and the OpenSSH child_set_env() exploit (CVE-2014-2532)

    I see the last response is 'the alert is not a real concern', but I checked and the version of openssh on the Sophos UTM is "OpenSSH_6.2p2, OpenSSL 1.0.1k 8 Jan 2015". According to the release notes for OpenSSH 6.2p2, there is no mention of a fix for either of these issues. That doesn't happen until OpenSSH 6.4.

    Can you point to me how you knew this wasn't a concern? I'd like to be able to share it with our auditors.
Reply
  • 0
    I just recently scanned our 9.310-11 and received the same warnings about the OpenSSH AES-GCM Cipher (CVE-2013-4548) and the OpenSSH child_set_env() exploit (CVE-2014-2532)

    I see the last response is 'the alert is not a real concern', but I checked and the version of openssh on the Sophos UTM is "OpenSSH_6.2p2, OpenSSL 1.0.1k 8 Jan 2015". According to the release notes for OpenSSH 6.2p2, there is no mention of a fix for either of these issues. That doesn't happen until OpenSSH 6.4.

    Can you point to me how you knew this wasn't a concern? I'd like to be able to share it with our auditors.
Children
No Data