Säkerhetsbulletin från Debian

DSA-086-1 ssh-nonfree -- fjärrattack mot root

Rapporterat den:

2001-11-13

Berörda paket:

ssh-nonfree, ssh-socks

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2001-0361.

Ytterligare information:

Vi har fått rapporter om att "sårbarheten med detektering av attack mot SSH CRC-32-kompensering" aktivt utnyttjas. Detta är samma heltalstypsfel som tidigare rättats i OpenSSH i DSA-027-1. OpenSSH (ssh-paketet i Debian) rättades vid det tillfället, men ssh-nonfree och ssh-socks rättades inte.

Även om paket i den ofria delen (non-free) av arkivet inte officiellt stöds av Debianprojektet gör vi något ovanligt och släpper uppdaterade paket för ssh-nonfree/ssh-socks för de användare som ännu inte migrerat till OpenSSH. Vi rekommenderar dock att våra användare migrerar till det normalt stödda DFSG-fria "ssh"-paketet så fort som möjligt. ssh 1.2.3-är OpenSSH-paketet som finns i Debian 2.2r4.

De rättade ssh-nonfree/ssh-socks-paketen är tillgängliga i version 1.2.27-6.2 för att användas i Debian 2.2 (potato) och version 1.2.27-8 för att använda med Debians instabila och uttestningsutgåva. Observera att de nya ssh-nonfree(ssh-socks-paketen tar bort setuid-biten från ssh-binären, vilket deaktiverar rhosts-rsa-autentisering. Om du behöver denna funktionalitet, kör

chmod u+s /usr/bin/ssh1

efter installation av det nya paketet.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.diff.gz; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.dsc; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-askpass-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-socks_1.2.27-6.2_alpha.deb
ARM: Not yet available
Intel ia32:: http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-askpass-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-socks_1.2.27-6.2_i386.deb
Motorola M680x0:: http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-askpass-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-socks_1.2.27-6.2_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-askpass-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-socks_1.2.27-6.2_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-askpass-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-socks_1.2.27-6.2_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.