Alertas

Vulnerabilidad de deserialización insegura de Java en Apache MINA SSHD (CVE-2022-45047)

16 Nov 2022

INTRODUCCIÓN

Recientemente, Apache MINA ha corregido una vulnerabilidad de deserialización insegura. Zhang Zewei informó de esta vulnerabilidad.

ANÁLISIS

Apache MINA SSHD es una librería 100% java para soportar los protocolos SSH tanto del lado del cliente como del servidor. No pretende ser un sustituto del cliente SSH o del servidor SSH de los sistemas operativos Unix, sino que proporciona soporte para aplicaciones basadas en Java que requieran soporte SSH.

La clase org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider en Apache MINA SSHD <= 2.9.1 utiliza la deserialización de Java para cargar una java.security.PrivateKey serializada. La clase es una de las varias implementaciones que un implementador que utilice Apache MINA SSHD puede elegir para cargar las claves de host de un servidor SSH.

La deserialización insegura es cuando los datos controlados por el usuario son deserializados por un sitio web. Esto permite potencialmente a un atacante manipular objetos serializados para pasar datos dañinos al código de la aplicación. Permite a un atacante reutilizar el código de la aplicación existente de forma dañina, dando lugar a otras numerosas vulnerabilidades, a menudo la ejecución remota de código.

Versiones afectadas:

Apache MINA SSHD <= 2.9.1

RECOMENDACIONES

Para Apache MINA SSHD <= 2.9.1, no utilice org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider para generar
y posteriormente cargar la clave de host de su servidor. Utilice archivos de clave de host generados por separado, por ejemplo en formato OpenSSH, y cárguelos a través de org.apache.sshd.common.keyprovider.FileKeyPairProvider en su lugar. O utilice una implementación personalizada en lugar de SimpleGeneratorHostKeyProvider que utilice el formato OpenSSH para almacenar y cargar la clave del host (mediante las clases OpenSSHKeyPairResourceWriter y OpenSSHKeyPairResourceParser).

Actualice a Apache MINA SSHD 2.9.2.

REFERENCIAS

https://securityonline.info/cve-2022-45047-apache-mina-sshd-unsafe-deserialization-vulnerability/
https://seclists.org/oss-sec/2022/q4/148

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.

Vulnerabilidad de deserialización insegura de Java en Apache MINA SSHD (CVE-2022-45047)

INTRODUCCIÓN

ANÁLISIS

RECOMENDACIONES

REFERENCIAS

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día