Информация по безопасности / 2017 / Информация о безопасности -- DSA-3859-1 dropbear

Рекомендация Debian по безопасности

DSA-3859-1 dropbear -- обновление безопасности

Дата сообщения:

19.05.2017

Затронутые пакеты:

dropbear

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-9078, CVE-2017-9079.

Более подробная информация:

В Dropbear, легковесном клиенте и сервере SSH2, были обнаружены две уязвимости:

• CVE-2017-9078

  Марк Шепард обнаружил двойное освобождение памяти в коде очистки приёмника TCP, которое может приводить к тому, что аутентифицированный пользователь может вызвать отказ в обслуживании в случае, если Dropbear запущен с опцией "-a".

• CVE-2017-9079

  Ян Хорн обнаружил локальную утечку информации при выполнении грамматического разбора файла .authorized_keys.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2014.65-1+deb8u2.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты dropbear.