Tietoturvasta / 2001 / Tietoturvallisuudesta -- DSA-086-1 ssh-nonfree

Debianin tietoturvatiedote

DSA-086-1 ssh-nonfree -- etäkäyttö roottina

Ilmoitettu:

13.11.2001

Vaikutuksen alaiset paketit:

ssh-nonfree, ssh-socks

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Mitren CVE-sanakirjassa: CVE-2001-0361.

Lisätietoa:

Olemme saaneet tietoja, että "SSH CRC-32 compensation attack detector"-alttiutta on hyväksikäytetty aktiivisesti. Tämä on sama kokonaislukutyyppivirhe, joka on aiemmin korjattu OpenSSH:lle päivityksessä DSA-027-1. OpenSSH (Debianin ssh-paketti) korjattiin silloin, mutta ssh-nonfree- ja ssh-socks-paketteja ei.

Vaikkakin paketteja non-free-osastolla arkistossamme Debian-projekti ei virallisesti tue, teemme harvinaisen poikkeuksen tällä kertaa julkaisemalla päivitetyt ssh-nonfree/ssh-socks-paketit niille käyttäjille, jotka eivät vielä ole siirtyneet OpenSSH:iin. Tästä huolimatta suosittelemme käyttäjiämme siirtymään vakituisesti tuettuun, DFSG-vapaaseen "ssh"-pakettiin niin pian kuin mahdollista. ssh 1.2.3-9.3 on Debian 2.2r4:ssä saatavilla oleva OpenSSH-paketti.

Korjatut ssh-nonfree/ssh-socks-paketit ovat versioltaan 1.2.27-6.2 käytettäväksi Debian 2.2 kanssa ja versioltaan 1.2.27-8 käytettäväksi Debianin epävakaan/testattavan jakelun kanssa. Huomaa, että uusista ssh-nonfree/ssh-socks-paketeista on poistettu setuid-bitti ssh-binääristä, joka kytkee pois rhosts-rsa-autentikoinnin. Jos tarvitset tätä toiminnallisuutta, aja

chmod u+s /usr/bin/ssh1

asennettuasi uuden paketin.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:

http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.diff.gz

http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.dsc

http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27.orig.tar.gz

Alpha:

http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-askpass-nonfree_1.2.27-6.2_alpha.deb

http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-nonfree_1.2.27-6.2_alpha.deb

http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-socks_1.2.27-6.2_alpha.deb

ARM: Not yet available

Intel ia32:

http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-askpass-nonfree_1.2.27-6.2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-nonfree_1.2.27-6.2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-socks_1.2.27-6.2_i386.deb

Motorola M680x0:

http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-askpass-nonfree_1.2.27-6.2_m68k.deb

http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-nonfree_1.2.27-6.2_m68k.deb

http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-socks_1.2.27-6.2_m68k.deb

PowerPC:

http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-askpass-nonfree_1.2.27-6.2_powerpc.deb

http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-nonfree_1.2.27-6.2_powerpc.deb

http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-socks_1.2.27-6.2_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-askpass-nonfree_1.2.27-6.2_sparc.deb

http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-nonfree_1.2.27-6.2_sparc.deb

http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-socks_1.2.27-6.2_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.