Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3487-1 libssh2

Debians sikkerhedsbulletin

DSA-3487-1 libssh2 -- sikkerhedsopdatering

Rapporteret den:

23. feb 2016

Berørte pakker:

libssh2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 815662.
I Mitres CVE-ordbog: CVE-2016-0787.

Yderligere oplysninger:

Andreas Schneider rapporterede at libssh2, et SSH2-klientsidebibliotek, overfører antallet af bytes til en funktion, som forventer antallet af bits, under SSHv2-handshake når libssh2 skal have en passende værdi for group order i Diffie-Hellman-forhandlingen. Det svækker i betydelig grad handshakesikkerheden, og gør det potentielt muligt at smuglytte, hvis man har tilstrækkelige ressourcer til at dekryptere eller opsnappe SSH-sessioner.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 1.4.2-1.1+deb7u2.

I den stabile distribution (jessie), er dette problem rettet i version 1.4.3-4.1+deb8u1.

Vi anbefaler at du opgraderer dine libssh2-pakker.