Säkerhetsbulletin från Debian
DSA-3487-1 libssh2 -- säkerhetsuppdatering
- Rapporterat den:
- 2016-02-23
- Berörda paket:
- libssh2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 815662.
I Mitres CVE-förteckning: CVE-2016-0787. - Ytterligare information:
-
Andreas Schneider rapporterade att libssh2, ett SSH2-klientsidebibliotek, skickar antalet bytes till en funktion som förväntar sig antalet bits under SSHv2-handskakning när libssh2 behöver ett passande värde för
group order
i Diffie-Hellman-förhandlingen. Detta försvagar säkerheten i handkakningen markant, och tillåter potentiellt en tjuvlyssnare med tillräckliga resurser att dekryptera eller fånga upp SSH-sessioner.För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.2-1.1+deb7u2.
För den stabila utgåvan (Jessie) har detta problem rättats i version 1.4.3-4.1+deb8u1.
Vi rekommenderar att ni uppgraderar era libssh2-paket.