Рекомендация Debian по безопасности

DLA-171-1 libssh2 -- обновление безопасности LTS

Дата сообщения:
14.03.2015
Затронутые пакеты:
libssh2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 780249.
В каталоге Mitre CVE: CVE-2015-1782.
Более подробная информация:

Мариуш Зилек сообщил, что libssh2, клиентская библиотека SSH2, считывает и использует пакет SSH_MSG_KEXINIT без выполнения необходимых проверок границ массива при согласовании новой сессии SSH с удалённым сервером. Злоумышленник может выполнить атаку по принципу человек-в-середине и выдать себя за сервер, что приведёт к аварийному завершению работы клиента, использующего библиотеку libssh2 (отказ в обслуживании) или к чтению и использованию неправильных областей памяти этим процессом.

В Debian 6 Squeeze эти проблемы были исправлены в libssh2 версии 1.2.6-1+deb6u1