Bulletin d'alerte Debian

ssh -- Faille distante dans ssh

Date du rapport :
15 décembre 1999
Paquets concernés :
ssh
Vulnérabilité :
Non
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2347.
Dans le dictionnaire CVE du Mitre : CVE-2001-0144.
Plus de précisions :
Une annonce publiée par Core-SDI indique qu'une combinaison de bogues dans ssh et la bibliothèque rsaref2 peuvent être exploitée pour obtenir un accès distant sur la machine hébergeant le service vulnérable. La version de ssh dans Debian n'est pas liée avec rsaref2. Elle n'est donc pas vulnérable telle quelle est fournie. Remarquez que si vous compilez une copie de ssh en local avec la bibliothèque rsaref2, votre copie locale peut être vulnérable. Lisez l'annonce sur CoreLabs Advisories - CORE-1201999 pour de plus amples informations.

Chaque logiciel qui utilise la bibliothèque rsaref2 peut être vulnérable.