Debians sikkerhedsbulletin

DSA-3487-1 libssh2 -- sikkerhedsopdatering

Rapporteret den:
23. feb 2016
Berørte pakker:
libssh2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 815662.
I Mitres CVE-ordbog: CVE-2016-0787.
Yderligere oplysninger:

Andreas Schneider rapporterede at libssh2, et SSH2-klientsidebibliotek, overfører antallet af bytes til en funktion, som forventer antallet af bits, under SSHv2-handshake når libssh2 skal have en passende værdi for group order i Diffie-Hellman-forhandlingen. Det svækker i betydelig grad handshakesikkerheden, og gør det potentielt muligt at smuglytte, hvis man har tilstrækkelige ressourcer til at dekryptere eller opsnappe SSH-sessioner.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 1.4.2-1.1+deb7u2.

I den stabile distribution (jessie), er dette problem rettet i version 1.4.3-4.1+deb8u1.

Vi anbefaler at du opgraderer dine libssh2-pakker.