Säkerhetsbulletin från Debian
DSA-3859-1 dropbear -- säkerhetsuppdatering
- Rapporterat den:
- 2017-05-19
- Berörda paket:
- dropbear
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2017-9078, CVE-2017-9079.
- Ytterligare information:
-
Två sårbarheter har upptäckts i Dropbear, en lättvikts-SSH2-server och klient:
- CVE-2017-9078
Mark Shepard upptäckte en dubbel frigörning i TCP-lyssnarstädning vilket kunde resultera i överbelastning av en autentiserad användare om Dropbear kör med "-a"-alternativet.
- CVE-2017-9079
Jann Horn upptäckte ett lokalt informationsläckage vid tolkning av .authorized_keys-filen.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 2014.65-1+deb8u2.
För den instabila distributionen (Sid) kommer dessa problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era dropbear-paket.
- CVE-2017-9078