Debian-Sicherheitsankündigung

DSA-091-1 ssh -- Beeinflussendes login

Datum des Berichts:
05. Dez 2001
Betroffene Pakete:
ssh
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 3614.
In Mitres CVE-Verzeichnis: CVE-2001-0872.
Weitere Informationen:

Wenn die UseLogin-Fähigkeit in ssh aktiviert ist, können lokale Benutzer Umgebungsvariablen (inklusive Variablen wie LD_PRELOAD) an den Login-Prozess übergeben. Das wurde dadurch behoben, dass die Umgebung nicht kopiert wird, wenn UseLogin aktiviert ist.

Bitte beachten Sie, dass die Standard-Konfiguration für Debian UseLogin nicht aktiviert hat.

Das wurde in Version 1:1.2.3-9.4 behoben.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3-9.4.diff.gz
http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3-9.4.dsc
http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/dists/stable/updates/main/binary-all/ssh-askpass-ptk_1.2.3-9.4_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/ssh-askpass-gnome_1.2.3-9.4_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/ssh_1.2.3-9.4_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/ssh-askpass-gnome_1.2.3-9.4_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/ssh_1.2.3-9.4_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/ssh-askpass-gnome_1.2.3-9.4_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/ssh_1.2.3-9.4_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/ssh-askpass-gnome_1.2.3-9.4_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/ssh_1.2.3-9.4_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/ssh-askpass-gnome_1.2.3-9.4_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/ssh_1.2.3-9.4_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/ssh-askpass-gnome_1.2.3-9.4_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/ssh_1.2.3-9.4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.