Säkerhetsbulletin från Debian

DSA-3550-1 openssh -- säkerhetsuppdatering

Rapporterat den:
2016-04-15
Berörda paket:
openssh
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-8325.
Ytterligare information:

Shayan Sadigh upptäckte en sårbarhet i OpenSSH: Om PAM-stöd är aktiverat och sshd PAM-konfigurationen är inställd för att läsa användarspecificerade miljövariabler och alternativet UseLogin är aktiverat, kan en lokal användare utöka sina rättigheter till root-rättigheter.

I Debian används inte UseLogin som standard.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 6.0p1-4+deb7u4.

För den stabila utgåvan (Jessie) har detta problem rättats i version 6.7p1-5+deb8u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:7.2p2-3.

Vi rekommenderar att ni uppgraderar era openssh-paket.