Debians sikkerhedsbulletin
DSA-3487-1 libssh2 -- sikkerhedsopdatering
- Rapporteret den:
- 23. feb 2016
- Berørte pakker:
- libssh2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 815662.
I Mitres CVE-ordbog: CVE-2016-0787. - Yderligere oplysninger:
-
Andreas Schneider rapporterede at libssh2, et SSH2-klientsidebibliotek, overfører antallet af bytes til en funktion, som forventer antallet af bits, under SSHv2-handshake når libssh2 skal have en passende værdi for
group order
i Diffie-Hellman-forhandlingen. Det svækker i betydelig grad handshakesikkerheden, og gør det potentielt muligt at smuglytte, hvis man har tilstrækkelige ressourcer til at dekryptere eller opsnappe SSH-sessioner.I den gamle stabile distribution (wheezy), er dette problem rettet i version 1.4.2-1.1+deb7u2.
I den stabile distribution (jessie), er dette problem rettet i version 1.4.3-4.1+deb8u1.
Vi anbefaler at du opgraderer dine libssh2-pakker.