Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3626-1 openssh

Debians sikkerhedsbulletin

DSA-3626-1 openssh -- sikkerhedsopdatering

Rapporteret den:

24. jul 2016

Berørte pakker:

openssh

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 831902.
I Mitres CVE-ordbog: CVE-2016-6210.

Yderligere oplysninger:

Eddie Harari rapporterede at OpenSSH's SSH-dæmon tillod brugeroptælling gennem timingforskelle, når der blev prøvet at autentificere brugere. Når sshd prøver at autentificere en ikke-eksisterende bruger, opsamlede den en falsk adgangskodestruktur med en hash baseret på Blowfish-algoritmen. Hvis rigtige brugeradgangskoder er hash'et ved hjælp af SHA256/SHA512, kunne en fjernangriber drage nytte af fejlen til at sende store adgangskoder og modtage svar på kortere tid fra serveren ved ikke-eksisterende brugere.

I den stabile distribution (jessie), er dette problem rettet i version 1:6.7p1-5+deb8u3.

I den ustabile distribution (sid), er dette problem rettet i version 1:7.2p2-6.

Vi anbefaler at du opgraderer dine openssh-pakker.