Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2879-1 libssh

Säkerhetsbulletin från Debian

DSA-2879-1 libssh -- säkerhetsuppdatering

Rapporterat den:

2014-03-13

Berörda paket:

libssh

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-0017.

Ytterligare information:

Man har upptäckt att libssh, ett litet SSH-bibliotek skrivet i C, inte återställde PRNG-tillståndet efter att ha accepterat en anslutning. En servermodeapplikation som förgrenar sig för att hantera inkommande anslutningar kunde se sina barnprocesser dela samma PRNG-tillstånd, vilket resulterar i en krypyografisk sårbarhet och möjligen återskapande av den privata nyckeln.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 0.4.5-3+squeeze2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.5.4-1+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 0.5.4-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.5.4-3.

Vi rekommenderar att ni uppgraderar era libssh-paket.