Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 5349 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

OpenSSH 6.2 and 6.3 AES-GCM Cipher Memory Corruption

stephendreality
We have recently ran a Nessus scan against our UTM box that flagged a potentially high vulnerability that OpenSSH is out of date and could be affected by memory corruption.

We were wondering whether this is something that will/has been patched via a UTM update, or something we have to patch ourselves?


This thread was automatically locked due to age.
Parents
  • 0
    Following up with this post, I opened a ticket with sophos for CVE-2013-4548 & CVE-2014-2532 and got this response:


    CVE-2013-4548 is only about bypassing ForceCommand and login-shell restrictions. This is not supported by UTM, any key configured for SSH access has full access without restrictions.

    CVE-2014-2532 is only about not correctly using AcceptEnv restrictions. This is not used by UTM.


    Now, the answer is more or less "yes the version we include has these flaws, but we don't happen to support features that would exploit them". Pretty surprising stuff considering the Sophos blog post from 2013 recommends users upgrade their OpenSSH versions "just in case".

    Also, the comment of "any key configured for SSH access has full access without restrictions" isn't exactly true, it's only true for accounts setup within their web UI, but that's a different topic.
Reply
  • 0
    Following up with this post, I opened a ticket with sophos for CVE-2013-4548 & CVE-2014-2532 and got this response:


    CVE-2013-4548 is only about bypassing ForceCommand and login-shell restrictions. This is not supported by UTM, any key configured for SSH access has full access without restrictions.

    CVE-2014-2532 is only about not correctly using AcceptEnv restrictions. This is not used by UTM.


    Now, the answer is more or less "yes the version we include has these flaws, but we don't happen to support features that would exploit them". Pretty surprising stuff considering the Sophos blog post from 2013 recommends users upgrade their OpenSSH versions "just in case".

    Also, the comment of "any key configured for SSH access has full access without restrictions" isn't exactly true, it's only true for accounts setup within their web UI, but that's a different topic.
Children
No Data