Aviso de seguridad de Debian

DSA-119-1 ssh -- explotación local de root, explotación de cliente remoto

Fecha del informe:
7 de mar de 2002
Paquetes afectados:
ssh
Vulnerable:
No
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 4241.
En el diccionario CVE de Mitre: CVE-2002-0083.
Información adicional:

Joost Pol informa de que las versiones de OpenSSH de la 2.0 hasta la 3.0.2 contienen una por una un bug en el canal de localización del código. Esta vulverabilidad puede ser explotada por los usuarios autentificados para obtener privilegio de root o por un servidor malicioso explotando un cliente con este error.

Ya que Debian 2.2 (potato) se distribuye con OpenSSH (como el paquete "ssh") versión 1.2.3, no es vulnerable a esta explotación. No hace falta reparación para Debian 2.2 (potato).

Los archivos de Debian inestable y testing incluyen un paquete más reciente de OpenSSH (ssh). Si está ejecutando distribuciones pre-liberadas debería asegurarse de que está ejecutando la versión 3.0.2p1-8, una versión parcheada que se añadió al archivo inestable hoy, o una versión posterior.