Säkerhetsbulletin från Debian

DSA-3487-1 libssh2 -- säkerhetsuppdatering

Rapporterat den:
2016-02-23
Berörda paket:
libssh2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 815662.
I Mitres CVE-förteckning: CVE-2016-0787.
Ytterligare information:

Andreas Schneider rapporterade att libssh2, ett SSH2-klientsidebibliotek, skickar antalet bytes till en funktion som förväntar sig antalet bits under SSHv2-handskakning när libssh2 behöver ett passande värde för group order i Diffie-Hellman-förhandlingen. Detta försvagar säkerheten i handkakningen markant, och tillåter potentiellt en tjuvlyssnare med tillräckliga resurser att dekryptera eller fånga upp SSH-sessioner.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.2-1.1+deb7u2.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.4.3-4.1+deb8u1.

Vi rekommenderar att ni uppgraderar era libssh2-paket.