Se ha identificado una vulnerabilidad alta en OpenSSH, presente en sistemas FreeBSD, que podría permitir a un atacante ejecutar código arbitrario remotamente con privilegios de root, comprometiendo potencialmente todo el sistema.
Productos Afectados
- OpenSSH en versiones FreeBSD OS 13.3, 14.0, 14.1.
Impacto
La vulnerabilidad se identifica como CVE-2024-7589, con una puntuación en CVSSv3 de 8.1, de severidad alta. El código defectuoso en este caso es de la integración de la lista negra en OpenSSH en FreeBSD. Como resultado de funciones de llamada que no son asinc-señal-salsa en el contexto privilegiado sshd(8), existe una condición de raza que un actor malicioso determinado puede ser capaz de explotar para permitir una ejecución de código remoto no autenticado como root.
Recomendación
- Actualizar a la última versión disponible del producto afectado desde la página web oficial.
Referencias