Alerta de Segurança Debian

DSA-956-1 lsh-server -- perda do descritor de arquivo

Data do Alerta:
26 Jan 2006
Pacotes Afetados:
lsh-utils
Vulnerável:
Sim
Referência à base de dados de segurança:
No sistema de acompanhamento de bugs do Debian: Bug 349303.
No dicionário CVE do Mitre: CVE-2006-0353.
Informações adicionais:

Stefan Pfetzing descobriu que o lshd, um servidor de protocolo "Secure Shell v2 (SSH2)", perde um grupo de descritores de arquivos, relacionados ao gerador randômico, para o shell do usuário que foi iniciado pelo lshd. Um atacante local pode truncar o arquivo "seed", o que pode impedir a inicialização do servidor, e com mais algum esforço, talvez possa também quebrar as chaves de sessão.

Após aplicar esta atualização, você deverá remover o arquivo "seed" do servidor (/var/spool/lsh/yarrow-seed-file) e gerá-lo novamente com "lsh-make-seed --server" como root.

Por razões de segurança, lsh-make-seed realmente precisa se executado a partir do console do sistema onde você o está executando. Se você executar o lsh-make-seed usando um shell remoto, a informação de temporização que o lsh-make-seed usa para a criação do "seed" randômico provavelmente será distorcida. Se precisar, você pode gerar o "seed" randômico em um sistema diferente de onde ele eventualmente estará, instalando o pacote lsh-utils e executando "lsh-make-seed -o meu-arquivo-seed-para-outro-servidor". Você poderá transferir o arquivo "seed" para o sistema destino usando uma conexão segura.

A antiga distribuição estável ("woody") pode não ser afetada por este problema.

Para a distribuição estável ("sarge") este problema foi corrigido na versão 2.0.1-3sarge1.

Para a distribuição instável ("sid") este problema foi corrigido na versão 2.0.1cdbs-4.

Recomendamos que você atualize seu pacote lsh-server.

Corrigido em:

Debian GNU/Linux 3.1 (sarge)

Fonte:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1.dsc
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1.diff.gz
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils-doc_2.0.1-3sarge1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_alpha.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_alpha.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_arm.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_arm.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_i386.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_i386.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_ia64.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_ia64.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_hppa.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_hppa.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_m68k.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_m68k.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_mips.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_mips.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_mipsel.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_mipsel.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_powerpc.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_powerpc.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_s390.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_s390.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_sparc.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_sparc.deb
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.