Stefan Pfetzing entdeckte, dass Lshd, ein Secure Shell v2 (SSH2) Protokoll-Server, einige Dateideskriptoren, die in Bezug zum Zufalls-Generator stehen, in von Lshd gestartete Benutzer-Shells streut. Ein lokaler Angreifer kann die Seed-Datei des Servers verstümmeln, was ein Starten des Servers verhindern mag, und mit etwas mehr Aufwand vielleicht auch Session-Schlüssel knacken.
Nachdem Sie diese Aktualisierung einspielen, sollten Sie die Seed-Datei
des Servers (/var/spool/lsh/yarrow-seed-file) entfernen und mittels des
Befehls lsh-make-seed --server
als root wieder neu erstellen.
Aus Sicherheitsgründen muss lsh-make-seed wirklich von der Konsole des
Systems aus aufgerufen werden, auf dem es auch läuft. Falls Sie lsh-make-seed
über eine entfernte Shell aufrufen, werden die Timing-Informationen, die
lsh-make-seed zur Erstellung seines Random Seeds verwendet, wahrscheinlich
defekt sein. Falls notwendig können Sie den Random Seed auf einem anderen
System als demjenigen erstellen, auf welchem er letztendlich sein soll,
indem Sie das lsh-utils-Paket installieren und den Befehl
lsh-make-seed -o my-other-server-seed-file
ausführen. Sie können
dann den Seed über eine sichere Verbindung auf das Zielsystem befördern.
Die alte Stable-Distribution (Woody) ist von diesem Problem wohl nicht betroffen.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 2.0.1-3sarge1 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.0.1cdbs-4 behoben.
Wir empfehlen Ihnen, Ihr Lsh-server-Paket zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.