Aviso de seguridad de Debian

DSA-091-1 ssh -- login influenciado

Fecha del informe:
5 de dic de 2001
Paquetes afectados:
ssh
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3614.
En el diccionario CVE de Mitre: CVE-2001-0872.
Información adicional:
Si la característica UseLogin está activada en ssh los usuarios locales pueden pasar variables de entorno (incluyendo variables como LD_PRELOAD) al proceso de login. Esto se ha arreglado no copiando el entorno si UseLogin está activado.

Fíjese en que la configuración predeterminada de Debian no tiene activada la opción UseLogin.

Esto ha sido arreglado en la versión 1:1.2.3-9.4.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3-9.4.diff.gz
http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3-9.4.dsc
http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/dists/stable/updates/main/binary-all/ssh-askpass-ptk_1.2.3-9.4_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/ssh-askpass-gnome_1.2.3-9.4_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/ssh_1.2.3-9.4_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/ssh-askpass-gnome_1.2.3-9.4_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/ssh_1.2.3-9.4_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/ssh-askpass-gnome_1.2.3-9.4_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/ssh_1.2.3-9.4_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/ssh-askpass-gnome_1.2.3-9.4_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/ssh_1.2.3-9.4_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/ssh-askpass-gnome_1.2.3-9.4_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/ssh_1.2.3-9.4_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/ssh-askpass-gnome_1.2.3-9.4_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/ssh_1.2.3-9.4_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.