Bulletin d'alerte Debian
sshd -- Dépassement de capacité dans l'enregistrement
- Date du rapport :
- 10 décembre 1998
- Paquets concernés :
- ssh
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
-
Une grande confusion fait place ces temps-ci autour de
ssh : certaines personnes pensent que leurs systèmes ont
été piratés bien que personne ne soit en mesure de montrer quelle exploitation
a pu être faite. Pour éviter tout problème éventuel, nous avons mis une
rustine à ssh pour colmater les possibilités de débordements de
capacité. Nous pensons que cela stoppera les attaques qu'il peut y avoir. Nous
appliquons également des modifications aux codes kerberos qui ont été
distribués.
Veuillez noter que cette rustine ne souffre pas des problèmes de licence dont ont souffert les autres rustines qui ont été en circulation, puisque elle n'utilise pas l'implémentation vsnprintf en provenance de ssh2 mais en lieu et place utilise du code de sendmail (qui est fondé sur du code circulant sur usenet) pour les systèmes qui n'ont pas vsnprintf dans leurs libc.
Nous vous recommandons la mise à jour immédiate de votre paquet ssh.
- Corrigé dans :
- All - (dans la version 2.1) ssh-1.2.26-1.2 All - (dans la version 2.1) ssh-askpass-1.2.26-1.2