Debians sikkerhedsbulletin

DLA-426-1 libssh2 -- LTS-sikkerhedsopdatering

Rapporteret den:
23. feb 2016
Berørte pakker:
libssh2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-0787.
Yderligere oplysninger:

Andreas Schneider rapporterede at libssh2, en implementering af SSH2-protokollen, der anvendes af mange applikationer, ikke genererede tilstrækkeligt lange Diffie-Hellman-secrets.

Sårbarheden kunne udnyttes af en smuglytter til at dekryptere og opsnappe SSH-sessioner.

I den gamle, gamle stabile distribution (squeeze), er dette rettet i version 1.2.6-1+deb6u2. Selvom changelog'en refererer til sha256, understøtter denne version kun udveksling af DH SHA-1-nøgler, og det er denne metode til nøgleudveksling, der er rettet.

I den gamle stabile distribution (wheezy) og i den stabile distribution (jessie), vil dette snart blive rettet.