Рекомендация Debian по безопасности

DSA-2894-1 openssh -- обновление безопасности

Дата сообщения:
05.04.2014
Затронутые пакеты:
openssh
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 742513.
В каталоге Mitre CVE: CVE-2014-2532, CVE-2014-2653.
Более подробная информация:

В OpenSSH, реализации набора протоколов SSH, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-2532

    Янн Хорн обнаружил, что OpenSSH некорректно обрабатывает шаблоны в строках AcceptEnv. Удалённый атакующий может использовать эту проблему для того, чтобы заставить OpenSSH принимать любую переменную окружения, содержащую символы после символа шаблона.

  • CVE-2014-2653

    Мэтью Вернон сообщил, что если сервер SSH предлагает HostCertificate, не принимаемый клиентом ssh, то клиент не проверяет DNS для записей SSHFP. Как следствие, сервер может отключить проверку SSHFP, предоставив сертификат.

    Заметьте, что сообщение о проверке узла всё ещё отображается до начала процесса соединения.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1:5.5p1-6+squeeze5.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1:6.0p1-4+deb7u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1:6.6p1-1.

Рекомендуется обновить пакеты openssh.