Debian 版の OpenSSH サーバでログインタイムアウトを実装するシグナルハンド ラが非同期シグナルに対応しておらず、サービス拒否攻撃が可能であることが発 見されました (CVE-2008-4109)。
この問題は元々は OpenSSH 4.4p1 (CVE-2006-5051) で修正されたものでしたが、 etch の版に対応してバックポートされたパッチが誤っていました。
この問題に影響を受けたシステムでは、多数の sshd プロセスのゾンビに悩まさ れることになります。また、"[net]" タイトルの止まっているプロセスも観測さ れるでしょう。時間と共に、ログイン試行が出来なくなるほど湖のようなプロセ スが蓄積することになります。このようなプロセスがあること自体は、攻撃が活 発に行われていることを意味しません。偶発事故でこのようなサービス拒否攻撃 状態になる可能性もあります。
安定版 (stable) ディストリビューション (etch) では、この問題はバージョン 4.3p2-9etch3 で修正されています。
テスト版 (testing) および不安定版 (unstable) ディストリビューション (lenny および sid) では、この問題はバージョン 4.6p1-1 で修正されています。
直ぐに openssh パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。