Debians sikkerhedsbulletin

DSA-2894-1 openssh -- sikkerhedsopdatering

Rapporteret den:
5. apr 2014
Berørte pakker:
openssh
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 742513.
I Mitres CVE-ordbog: CVE-2014-2532, CVE-2014-2653.
Yderligere oplysninger:

To sårbarheder blev opdaget i OpenSSH, en implementerin af SSH-protokolsuiten. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2014-2532

    Jann Horn opdagede at OpenSSH på ukorrekt vis håndterede wildcards i AcceptEnv-linjer. En fjernangriber kunne udnytte problemet til at narre OpenSSH til at acceptere en vilkårlig miljøvariabel, som indeholder tegnene før wildcard-tegnene.

  • CVE-2014-2653

    Matthew Vernon rapporterede at hvis en SSH-server tilbød et HostCertificate, som ssh-klienten ikke accepterede, kiggede klienten ikke i DNS efter SSHFP-poster. Som følge heraf kunne en ondsindet server deaktivere SSHFP-kontrol ved at præsentere et certifikat.

    Bemærk at værtsverifikationsspørgsmålet stadig vises før der forbindes.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1:5.5p1-6+squeeze5.

I den stabile distribution (wheezy), er disse problemer rettet i version 1:6.0p1-4+deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 1:6.6p1-1.

Vi anbefaler at du opgraderer dine openssh-pakker.