Alerta de Segurança Debian

DSA-086-1 ssh-nonfree -- exploit de root remoto

Data do Alerta:

13 Nov 2001

Pacotes Afetados:

ssh-nonfree, ssh-socks

Vulnerável:

Sim

Referência à base de dados de segurança:

No dicionário CVE do Mitre: CVE-2001-0361.

Informações adicionais:

Nós recebemos notícias de que o "SSH CRC-32 compensation attack detector vulnerability" está sendo ativamente exploitado. Esse é o mesmo erro do tipo inteiro anteriormente corrigido para OpenSSH no DSA-027-1. OpenSSH (o pacote ssh da Debian) foi consertado na mesma hora, mas o ssh-nonfree e o ssh-socks não foram.

Mesmo que os pacotes da seção non-free do repositório ainda não sejam oficialmente suportados pelo projeto Debian, nós tomamos um posição não usual e estamos lançando pacotes ssh-nonfree/ssh-socks atualizados para aqueles que ainda não migraram para o OpenSSH. Entretanto, nós recomendamos que nossos usuários migrem para o que é suportado regularmente, o pacote DFSG-free "ssh", logo. ssh 1.2.3-9.3 é o pacote OpenSSH disponível no Debian 2.2r4.

Os pacotes ssh-nonfree/ssh-socks consertados estão disponíveis na versão 1.2.27-6.2 para uso com o Debian 2.2 (potato) e na versão 1.2.27-8 para o uso com a distribuição Debian unstable/testing. Note que os novos pacotes ssh-nonfree/ssh-socks removem o bit setuid do binário ssh, desativando autenticação rhosts-rsa. Se você precisar dessa funcionalidade, rode

chmod u+s /usr/bin/ssh1

depois de instalar o novo pacote.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:: http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.diff.gz; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.dsc; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-askpass-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-socks_1.2.27-6.2_alpha.deb
ARM: Not yet available
Intel ia32:: http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-askpass-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-socks_1.2.27-6.2_i386.deb
Motorola M680x0:: http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-askpass-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-socks_1.2.27-6.2_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-askpass-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-socks_1.2.27-6.2_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-askpass-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-socks_1.2.27-6.2_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.