Рекомендация Debian по безопасности

DSA-119-1 ssh -- локальная уязвимость суперпользователя, удалённая клиентская уязвимость

Дата сообщения:
07.03.2002
Затронутые пакеты:
ssh
Уязвим:
Нет
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 4241.
В каталоге Mitre CVE: CVE-2002-0083.
Более подробная информация:

Йост Пол сообщает, что OpenSSH версий с 2.0 до 3.0.2 содержат логическую ошибку OBOB в коде выделения канала. Данная уязвимость может использоваться аутентифицированными пользователями для получения прав суперпользователя или злоумышленником, владеющим сервером, для вмешательства в работу клиента.

Поскольку Debian 2.2 (potato) поставляется с OpenSSH (пакет "ssh") версией 1.2.3, он не уязвим к данной проблеме. Для Debian 2.2 (potato) исправление не требуется.

Нестабильный и тестируемый выпуски Debian содержат более свежую версию пакета OpenSSH (ssh. Если вы используете указанные выпуски, вам следует убедиться, что вы используете пакет версии 3.0.2p1-8, исправленная версия которого была сегодня добавлена в нестабильный выпуск, либо более позднюю версию.