Рекомендация Debian по безопасности

DLA-288-2 openssh -- обновление безопасности LTS

Дата сообщения:
30.09.2015
Затронутые пакеты:
openssh
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5600.
Более подробная информация:

В Debian LTS (squeeze) исправление для CVE-2015-5600 в openssh версии 1:5.5p1-6+squeeze7 ломает механизмы аутентификации, полагающиеся на метод интерактивной работы с клавиатурой. Благодарим Колина Уотсона за обнаружение этой проблемы.

Заплата, исправляющая CVE-2015-5600 добавляет поле devices_done в структуру KbdintAuthctxt, но не инициализирует это поле в функции kbdint_alloc(). В Linux эти проводит к заполнению поля ненужными данными. В результате это приводит к случайным ошибкам при вводе данных учётной записи при использовании интерактивной аутентификации с помощью клавиатуры.

Данная загрузка openssh 1:5.5p1-6+squeeze7 в Debian LTS (squeeze) добавляет инициализацию поля `devices_done` в существующий код инициализации.

Тем, кто полагается на интерактивные механизмы аутентификации с помощью клавиатуры в OpenSSH в системах Debian squeeze(-lts), рекомендуется обновить OpenSSH до версии 1:5.5p1-6+squeeze7.