Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2879-1 libssh

Debians sikkerhedsbulletin

DSA-2879-1 libssh -- sikkerhedsopdatering

Rapporteret den:

13. mar 2014

Berørte pakker:

libssh

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-0017.

Yderligere oplysninger:

Man opdagede at libssh, et lille SSH-bibliotek skrevet i C, ikke nulstillede PRNG'ens tilstand efter at have accepteret en forbindelse. En applikation i servertilstand, som fork'er sig selv for at håndtere indgående forbindelser, kunne se sine børn, som delte den samme PRNG-tilstand, medførende en kryptografisk svaghed samt muligvis adgang til den private nøgle.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 0.4.5-3+squeeze2.

I den stabile distribution (wheezy), er dette problem rettet i version 0.5.4-1+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 0.5.4-3.

I den ustabile distribution (sid), er dette problem rettet i version 0.5.4-3.

Vi anbefaler at du opgraderer dine libssh-pakker.