Долгосрочная поддержка Debian / Информация о безопасности LTS / 2016 / Информация о безопасности -- DLA-426-1 libssh2

Рекомендация Debian по безопасности

DLA-426-1 libssh2 -- обновление безопасности LTS

Дата сообщения:

23.02.2016

Затронутые пакеты:

libssh2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-0787.

Более подробная информация:

Андреас Шнайдер сообщил, что libssh2, реализация протокола SSH2, используемая многими приложениями, создаёт недостаточной длинные закрытые ключи по алгоритму Диффи-Хеллмана.

Эта уязвимость может использоваться перехватчиком для расшифровки и перехвата сессий SSH.

В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.2.6-1+deb6u2. Хотя журнал изменений ссылается на sha256, данная версия поддерживает только обмен ключами по DH SHA-1, исправлен именно этот метод обмена ключами.

В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта проблема будет исправлена позже.