Spring navigering over

• Om Debian
• Nyheder
• Få fat i Debian
• Support
• Udviklerhjørnet
• Sideoversigt
• Søg

Debians sikkerhedsbulletin

DSA-086-1 ssh-nonfree -- fjenudnyttelse af root

Rapporteret den:

13. nov 2001

Berørte pakker:

ssh-nonfree, ssh-socks

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2001-0361.

Yderligere oplysninger:

Vi har modtaget rapporter om at "sårbarheden med opfangelse af angreb mod SSH CRC-32-kompensering" aktivt udnyttes. Dette er den samme heltalstypefejl som er rettet i OpenSSH i DSA-027-1. OpenSSH (Debians ssh-pakke) blev rettet på det tidspunkt, men ssh-nonfree og ssh-socks blev det ikke.

Selvom pakker i den ikke-frie (non-free) del af arkivet ikke officielt understøttes af Debian-projektet, har vi helt usædvanligt frigivet en opdateret ssh-nonfree-/ssh-socks-pakke til brugere der endnu ikke har skiftet til OpenSSH. Vi anbefaler dog at vores brugere begynder skifter til den almindeligt understøttede, DFSG-frie "ssh"-pakke så snart som muligt. ssh 1.2.3-9.3 er den OpenSSH-pakke som er tilgængelig i Debian 2.2r4.

De rettede ssh-nonfree-/ssh-socks-pakker er tilgængelige som version 1.2.27-6.2 til anvendelse med Debian 2.2 (potato) og version 1.2.27-8 til anvendelse med Debians unstabile-/testdistribution. Bemærk at de nye ssh-nonfree-/ssh-socks-pakker fjerne setuid-bit'en fra den binære ssh-fil, hvilket slår rhosts-rsa autentification fra. Har du brug for denne funktionalitet, kan du køre

chmod u+s /usr/bin/ssh1

efter at have installeret den nye pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:

http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.diff.gz

http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.dsc

http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27.orig.tar.gz

Alpha:

http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-askpass-nonfree_1.2.27-6.2_alpha.deb

http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-nonfree_1.2.27-6.2_alpha.deb

http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-socks_1.2.27-6.2_alpha.deb

ARM: Not yet available

Intel ia32:

http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-askpass-nonfree_1.2.27-6.2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-nonfree_1.2.27-6.2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-socks_1.2.27-6.2_i386.deb

Motorola M680x0:

http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-askpass-nonfree_1.2.27-6.2_m68k.deb

http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-nonfree_1.2.27-6.2_m68k.deb

http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-socks_1.2.27-6.2_m68k.deb

PowerPC:

http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-askpass-nonfree_1.2.27-6.2_powerpc.deb

http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-nonfree_1.2.27-6.2_powerpc.deb

http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-socks_1.2.27-6.2_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-askpass-nonfree_1.2.27-6.2_sparc.deb

http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-nonfree_1.2.27-6.2_sparc.deb

http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-socks_1.2.27-6.2_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.

Denne side findes også på følgende sprog:

Deutsch English español français 日本語 (Nihongo) Português suomi svenska

Sådan opsætter du standardsprogvalg for dokumenter