Aviso de seguridad de Debian
DSA-091-1 ssh -- login influenciado
- Fecha del informe:
- 5 de dic de 2001
- Paquetes afectados:
- ssh
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3614.
En el diccionario CVE de Mitre: CVE-2001-0872. - Información adicional:
-
Si la característica UseLogin está activada en ssh los usuarios locales
pueden pasar variables de entorno (incluyendo variables como LD_PRELOAD)
al proceso de login. Esto se ha arreglado no copiando el entorno si UseLogin
está activado.
Fíjese en que la configuración predeterminada de Debian no tiene activada la opción UseLogin.
Esto ha sido arreglado en la versión 1:1.2.3-9.4.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3-9.4.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3-9.4.dsc
- http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/openssh_1.2.3-9.4.dsc
- Componentes independientes de la arquitectura:
- http://security.debian.org/dists/stable/updates/main/binary-all/ssh-askpass-ptk_1.2.3-9.4_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/ssh-askpass-gnome_1.2.3-9.4_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/ssh_1.2.3-9.4_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/ssh_1.2.3-9.4_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/ssh-askpass-gnome_1.2.3-9.4_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/ssh_1.2.3-9.4_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/ssh_1.2.3-9.4_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/ssh-askpass-gnome_1.2.3-9.4_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/ssh_1.2.3-9.4_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/ssh_1.2.3-9.4_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/ssh-askpass-gnome_1.2.3-9.4_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/ssh_1.2.3-9.4_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/ssh_1.2.3-9.4_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/ssh-askpass-gnome_1.2.3-9.4_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/ssh_1.2.3-9.4_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/ssh_1.2.3-9.4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/ssh-askpass-gnome_1.2.3-9.4_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/ssh_1.2.3-9.4_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/ssh_1.2.3-9.4_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.