Debians sikkerhedsbulletin
DSA-3859-1 dropbear -- sikkerhedsopdatering
- Rapporteret den:
- 19. maj 2017
- Berørte pakker:
- dropbear
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2017-9078, CVE-2017-9079.
- Yderligere oplysninger:
-
To sårbarheder blev fundet i Dropbear, en letvægts-SSH2-server og -klient:
- CVE-2017-9078
Mark Shepard opdagede en dobbelt frigivelse i TCP-listener-oprydningen, hvilket kunne medføre lammelsesangreb foretaget af en autentificeret bruger, hvis Dropbear kører med valgmuligheden
-a
. - CVE-2017-9079
Jann Horn opdagede en lokal informationslækage i fortolkningen af filen .authorized_keys.
I den stabile distribution (jessie), er disse problemer rettet i version 2014.65-1+deb8u2.
I den ustabile distribution (sid), vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine dropbear-pakker.
- CVE-2017-9078