Vigil@nce - Avaya Ethernet Routing Switch : déni de service via NanoSSH
août 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se connecter sur le service NanoSSH de Avaya
Ethernet Routing Switch, afin de mener un déni de service.
Produits concernés : Avaya Ethernet Routing Switch
Gravité : 2/4
Date création : 18/07/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Avaya Ethernet Routing Switch utilise le serveur SSH
Mocana NanoSSH.
Lorsqu’un client SSH se connecte sur le serveur, il envoie le
paquet SSH KEXINIT, qui contient la liste des algorithmes MAC
supportés (hmac-md5,hmac-sha1, etc.). Cependant, si cette liste
est trop grande, le service NanoSSH se stoppe.
L’origine de cette vulnérabilité pourrait être un buffer overflow.
Un attaquant peut donc se connecter sur le service NanoSSH de
Avaya Ethernet Routing Switch, afin de mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Avaya-Ethernet-Routing-Switch-deni-de-service-via-NanoSSH-13143