Une grande confusion fait place ces temps-ci autour de
ssh : certaines personnes pensent que leurs systèmes ont
été piratés bien que personne ne soit en mesure de montrer quelle exploitation
a pu être faite. Pour éviter tout problème éventuel, nous avons mis une
rustine à ssh pour colmater les possibilités de débordements de
capacité. Nous pensons que cela stoppera les attaques qu'il peut y avoir. Nous
appliquons également des modifications aux codes kerberos qui ont été
distribués.
Veuillez noter que cette rustine ne souffre pas des problèmes de licence
dont ont souffert les autres rustines qui ont été en circulation, puisque
elle n'utilise pas l'implémentation vsnprintf en provenance de
ssh2 mais en lieu et place utilise du code de sendmail (qui est fondé
sur du code circulant sur usenet) pour les systèmes qui n'ont pas
vsnprintf dans leurs libc.
Nous vous recommandons la mise à jour immédiate de votre paquet
ssh.
