Рекомендация Debian по безопасности

DSA-086-1 ssh-nonfree -- удалённая уязвимость суперпользователя

Дата сообщения:

13.11.2001

Затронутые пакеты:

ssh-nonfree, ssh-socks

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2001-0361.

Более подробная информация:

Мы получили сообщения о том, что "уязвимость компенсационного определителя атак SSH CRC-32" активно используется злоумышленниками. Это та же ошибка типа целых чисел, которая ранее была исправлена в OpenSSH в рекомендации DSA-027-1. В тот раз был исправлен пакет OpenSSH (пакет ssh для Debian), но пакеты ssh-nonfree и ssh-socks исправлены не были.

Хотя пакеты в разделе non-free архива официально не поддерживаются Проектом Debian, мы всё же выпустили обновлённые пакеты ssh-nonfree/ssh-socks для тех пользователей, которые ещё не перешли на OpenSSH. Тем не менее, этим пользователям настоятельно рекомендуется перейти на обычный поддерживаемый пакет "ssh", соответствующий Критериям по определению свободного ПО. Пакет ssh версии 1.2.3-9.3 представляет собой пакет OpenSSH, этот пакет доступен в Debian 2.2r4.

Исправленные пакеты ssh-nonfree/ssh-socks доступны в версии 1.2.27-6.2 для использования в Debian 2.2 (potato) и в версии 1.2.27-8 для использования с нестабильным/тестируемым выпуском Debian. Заметьте, что новые пакеты ssh-nonfree/ssh-socks удаляют флаг setuid у двоичного файла ssh, отключая аутентификацию rhosts-rsa. Если вам нужна эта функциональность, запустите

chmod u+s /usr/bin/ssh1

после установки нового пакета.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:: http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.diff.gz; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.dsc; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-askpass-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-socks_1.2.27-6.2_alpha.deb
ARM: Not yet available
Intel ia32:: http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-askpass-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-socks_1.2.27-6.2_i386.deb
Motorola M680x0:: http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-askpass-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-socks_1.2.27-6.2_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-askpass-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-socks_1.2.27-6.2_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-askpass-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-socks_1.2.27-6.2_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.