Debians sikkerhedsbulletin

DSA-3859-1 dropbear -- sikkerhedsopdatering

Rapporteret den:
19. maj 2017
Berørte pakker:
dropbear
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-9078, CVE-2017-9079.
Yderligere oplysninger:

To sårbarheder blev fundet i Dropbear, en letvægts-SSH2-server og -klient:

  • CVE-2017-9078

    Mark Shepard opdagede en dobbelt frigivelse i TCP-listener-oprydningen, hvilket kunne medføre lammelsesangreb foretaget af en autentificeret bruger, hvis Dropbear kører med valgmuligheden -a.

  • CVE-2017-9079

    Jann Horn opdagede en lokal informationslækage i fortolkningen af filen .authorized_keys.

I den stabile distribution (jessie), er disse problemer rettet i version 2014.65-1+deb8u2.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine dropbear-pakker.