Рекомендация Debian по безопасности

DSA-3550-1 openssh -- обновление безопасности

Дата сообщения:
15.04.2016
Затронутые пакеты:
openssh
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-8325.
Более подробная информация:

Шаян Садиг обнаружил уязвимость в OpenSSH: если включена поддержка PAM, PAM в sshd настроен на чтение указываемых пользователями переменных окружения, а также включена опция UseLogin, то локальный пользователь может повысить свои привилегии до уровня суперпользователя.

В Debian опция UseLogin по умолчанию не включена.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 6.0p1-4+deb7u4.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 6.7p1-5+deb8u2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1:7.2p2-3.

Рекомендуется обновить пакеты openssh.