Debian-Sicherheitsankündigung
sshd -- Pufferüberlauf beim Protokollieren
- Datum des Berichts:
- 10. Dez 1998
- Betroffene Pakete:
- ssh
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
- Weitere Informationen:
-
Es gab in jüngster Zeit einiges an Verwirrung über ssh: Einige Leute glauben, ihr System wurde über die ssh gehackt, obwohl niemand in der Lage war, einen Exploit zu erzeugen. Um jegliche mögliche Probleme zu vermeiden, haben wir ssh gepatcht, um alle möglichen Pufferüberläufe zu reparieren. Wir glauben, dies wird jeden Angriff beenden, den es da draußen gibt. Diese Reparaturen beinhalten auch die bereits verteilten Korrekturen für den Kerberos-Code.
Bitte beachten Sie, dass dieser Patch nicht unter den Lizenzproblemen leidet, die andere im Umlauf befindliche Patches betreffen, da er nicht die vsnprintf-Implementation der ssh Version 2, sondern stattdessen Code von sendmail (welcher wiederum auf im Usenet verbreiteten Code basiert) für Systeme verwendet, die in ihrer libc kein vsnprintf enthalten.
Wir empfehlen Ihnen, Ihr ssh-Paket unverzüglich zu aktualisieren.
- Behoben in:
- All - (in Version 2.1) ssh-1.2.26-1.2 All - (in Version 2.1) ssh-askpass-1.2.26-1.2