Información sobre seguridad / 1998 / Información sobre seguridad -- sshd

Aviso de seguridad de Debian

sshd -- desbordamiento de búfer en el registro

Fecha del informe:

10 de dic de 1998

Paquetes afectados:

ssh

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.

Información adicional:

Ha habido mucha confusión sobre ssh últimamente: alguna gente piensa que sus sistemas han sido pirateados a través de ssh, aunque nadie ha sido capaz de producir una explotación. Para evitar cualquier problema posible hemos parcheado ssh para arreglar cualquier posible desbordamiento de búfer. Pensamos que esto detendrá cualquier ataque que pueda haber por ahí afuera. Esto también incluye las reparaciones para el código de kerberos que fue distribuído.

Fíjese en que este parche no sufre los problemas de licencia que otros paquetes habían demostrado tener, ya que no usa la implemetación vsnprintf desde ssh 2, sino que en su lugar usa el código de sendmail (que está basado en código flotante alrededor de usenet) para sistemas que no tienen vsnprintf en su libc.

Le recomendamos que actualice su paquete ssh inmediatamente.

Arreglado en:

All - (en la versión 2.1) ssh-1.2.26-1.2 All - (en la versión 2.1) ssh-askpass-1.2.26-1.2