Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3488-1 libssh

Debians sikkerhedsbulletin

DSA-3488-1 libssh -- sikkerhedsopdatering

Rapporteret den:

23. feb 2016

Berørte pakker:

libssh

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 815663.
I Mitres CVE-ordbog: CVE-2016-0739.

Yderligere oplysninger:

Aris Adamantiadis opdagede at libssh, et lille C-SSH-bibliotek, på ukorrekt vis genererede en kort, flygtig hemmelig til nøgleudvekslingsmetoderne diffie-hellman-group1 og diffie-hellman-group14. Den pågældende hemmelighed er 128 bit lang, i stedet for de anbefalede størrelser på 1024 hhv. 2048 bit. Fejl kunne gøre det muligt at smuglytte, hvis man har tilstrækkeligt med ressourcer til at dekryptere eller opsnappe SSH-sessioner.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 0.5.4-1+deb7u3. Opdateringen indeholder også rettelser af CVE-2014-8132 og CVE-2015-3146, som oprindelig var planlagt til medtagelse i den næste punktopdatering af wheezy.

I den stabile distribution (jessie), er dette problem rettet i version 0.6.3-4+deb8u2.

Vi anbefaler at du opgraderer dine libssh-pakker.