Aviso de seguridad de Debian
DSA-086-1 ssh-nonfree -- aprovechamiento remoto de root
- Fecha del informe:
- 13 de nov de 2001
- Paquetes afectados:
- ssh-nonfree, ssh-socks
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2001-0361.
- Información adicional:
-
Hemos recibido informes de que la "vulnerabilidad del detector de ataques de compensación de CRC-32 de SSH (SSH CRC-32 compensation attack detector vulnerability)" se está explotando actualmente. Este es el mismo error de tipo de entero que se corrigió previamente en DSA-027-1. OpenSSH (el paquete Debian de ssh) se arregló en ese momento, pero ssh-nonfree y ssh-socks no lo fueron.
Aunque los paquetes en la sección non-free del archivo no están soportados oficialmente por el proyecto Debian, estamos dando el paso inusual de liberar paquetes actualizados de ssh-nonfree/ssh-socks para aquellos usuarios que no hayan migrado todavía a OpenSSH. Sin embargo, recomendamos que nuestros usuarios migren al paquete "ssh", con soporte regular, y libre de acuerdo a las DFSG, tan pronto como sea posible. ssh 1.2.3-9.3 es el paquete de OpenSSH disponible en Debian 2.2r4.
Los paquetes arreglados de ssh-nonfree/ssh-socks están disponibles en la versión 1.2.27-6.2 para su uso con Debian 2.2 (potato) y la versión 1.2.27-8 para su uso con la distribución Debian unstable/testing. Dése cuenta que los nuevos paquetes de ssh-nonfree/ssh-socks retiran el bit de setuid del binario de ssh, desactivando por tanto la autenticación rhosts-rsa. Si necesita esta funcionalidad, ejecute
chmod u+s /usr/bin/ssh1
después de instalar el nuevo paquete.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.diff.gz
- http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.dsc
- http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27.orig.tar.gz
- http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-askpass-nonfree_1.2.27-6.2_alpha.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-nonfree_1.2.27-6.2_alpha.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-socks_1.2.27-6.2_alpha.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-nonfree_1.2.27-6.2_alpha.deb
- ARM:
Not yet available
- Intel ia32:
- http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-askpass-nonfree_1.2.27-6.2_i386.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-nonfree_1.2.27-6.2_i386.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-socks_1.2.27-6.2_i386.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-nonfree_1.2.27-6.2_i386.deb
- Motorola M680x0:
- http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-askpass-nonfree_1.2.27-6.2_m68k.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-nonfree_1.2.27-6.2_m68k.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-socks_1.2.27-6.2_m68k.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-nonfree_1.2.27-6.2_m68k.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-askpass-nonfree_1.2.27-6.2_powerpc.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-nonfree_1.2.27-6.2_powerpc.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-socks_1.2.27-6.2_powerpc.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-nonfree_1.2.27-6.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-askpass-nonfree_1.2.27-6.2_sparc.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-nonfree_1.2.27-6.2_sparc.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-socks_1.2.27-6.2_sparc.deb
- http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-nonfree_1.2.27-6.2_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.