Aviso de seguridad de Debian
DSA-1189-1 openssh-krb5 -- varias vulnerabilidades
- Fecha del informe:
- 4 de oct de 2006
- Paquetes afectados:
- openssh-krb5
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2006-4924, CVE-2006-5051.
- Información adicional:
-
Se han descubierto varias vulnerabilidades remotas en OpenSSh, una implementación libre del protocolo Secure Shell, que podía producir una denegación de servicio y, potencialmente, la ejecución de código arbitrario. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CVE-2006-4924
Tavis Ormandy, del equipo de seguridad de Google, descubrió una vulnerabilidad de denegación de servicio en el código de mitigación contra ataques de complejidad, que podía conducir a un incremento en el consumo de CPU hasta que transcurriese cierto intervalo. Sólo se podía sacar provecho de este error con la versión 1 del protocolo SSH activada.
- CVE-2006-5051
Mark Dowd descubrió que el uso inseguro de un gestor de señales podía, potencialmente, conducir a la ejecución de código arbitrario por medio de una doble liberación. El equipo de seguridad de Debian no cree que se pueda sacar provecho de este error en el paquete openssh general, sin soporte para Kerberos, pero debido a la complejidad del código subyacente, hemos publicado esta actualización para descartar otras posibles eventualidades.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 3.8.1p1-7sarge1.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 4.3p2-4 de openssh. openssh-krb5 pronto se convertirá en un paquete de transición hacia openssh.
Le recomendamos que actualice el paquete openssh-krb5.
- CVE-2006-4924
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/openssh-krb5_3.8.1p1-7sarge1.dsc
- http://security.debian.org/pool/updates/main/o/openssh-krb5/openssh-krb5_3.8.1p1-7sarge1.diff.gz
- http://security.debian.org/pool/updates/main/o/openssh-krb5/openssh-krb5_3.8.1p1.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/openssh-krb5/openssh-krb5_3.8.1p1-7sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_arm.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/openssh-krb5/ssh-krb5_3.8.1p1-7sarge1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.