Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3487-1 libssh2

Säkerhetsbulletin från Debian

DSA-3487-1 libssh2 -- säkerhetsuppdatering

Rapporterat den:

2016-02-23

Berörda paket:

libssh2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 815662.
I Mitres CVE-förteckning: CVE-2016-0787.

Ytterligare information:

Andreas Schneider rapporterade att libssh2, ett SSH2-klientsidebibliotek, skickar antalet bytes till en funktion som förväntar sig antalet bits under SSHv2-handskakning när libssh2 behöver ett passande värde för group order i Diffie-Hellman-förhandlingen. Detta försvagar säkerheten i handkakningen markant, och tillåter potentiellt en tjuvlyssnare med tillräckliga resurser att dekryptera eller fånga upp SSH-sessioner.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.2-1.1+deb7u2.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.4.3-4.1+deb8u1.

Vi rekommenderar att ni uppgraderar era libssh2-paket.