Debian-Sicherheitsankündigung

DSA-086-1 ssh-nonfree -- Entfernter root-Angriff

Datum des Berichts:

13. Nov 2001

Betroffene Pakete:

ssh-nonfree, ssh-socks

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2001-0361.

Weitere Informationen:

Wir haben Berichte erhalten, dass der "SSH CRC-32 compensation attack detector vulnerability" aktiv ausgenutzt wird. Das ist der selbe Integer-Typ-Fehler, der kürzlich für OpenSSH in DSA-027-1 behoben wurde. OpenSSH (das Debian ssh Paket) wurde zu dieser Zeit behoben, aber ssh-nonfree und ssh-socks wurden es nicht.

Obwohl Pakete in der non-free Sektion des Archives nicht offiziell vom Debian-Projekt unterstützt werden, führen wir die üblichen Schritte durch, um aktualisierte ssh-nonfree/ssh-socks Pakete für jene Benutzer zu veröffentlichen, die noch nicht auf OpenSSH umgestellt haben. Jedoch empfehlen wir, dass unsere Benutzer auf das regulär unterstützte, DFSG-freie "ssh" Paket so bald wie möglich umsteigen. ssh 1.2.3-9.3 ist das in Debian 2.2r4 verfügbare OpenSSH Paket.

Die korrigierten ssh-nonfree/ssh-socks Pakete sind in der Version 1.2.27-6.2 für die Debian 2.2 (Potato) und Version 1.2.27-8 für die Debian unstable/testing Distribution verfügbar. Beachten Sie, dass die neuen ssh-nonfree/ssh-socks Pakete das setuid Bit vom ssh-Programm gelöscht haben, was rhosts-rsa Authentifizierung abschaltet. Wenn Sie diese Funktionalität benötigen, rufen Sie

chmod u+s /usr/bin/ssh1

nach dem Installieren des neuen Paketes auf.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.diff.gz; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.dsc; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-askpass-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-socks_1.2.27-6.2_alpha.deb
ARM: Not yet available
Intel ia32:: http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-askpass-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-socks_1.2.27-6.2_i386.deb
Motorola M680x0:: http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-askpass-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-socks_1.2.27-6.2_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-askpass-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-socks_1.2.27-6.2_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-askpass-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-socks_1.2.27-6.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.