セキュリティ情報 / 1998 / セキュリティ情報 -- sshd

Debian セキュリティ勧告

sshd -- ログ中にバッファオーバフロー

報告日時:

1998-12-10

影響を受けるパッケージ:

ssh

危険性:

あり

参考セキュリティデータベース:

現時点では、その他の外部参考セキュリティデータベースはありません。

詳細:

最近、sshに多くの混乱がみられるようです。ssh経由で侵入されたと考えている 人がいるようですが、誰もそれを再現できていません。この潜在的な問題を 避けるために、バッファオーバーフローのある可能性のあるところを修正するための sshのパッチをつくりました。これで、予想される攻撃をとめることができると 考えています。以前配布されていたkerberosコードの修正も含んでいます。

このパッチは他のパッチにみられるようなライセンス問題を含んでいない ことに注意してください。libcにvsnprintfがないシステムのためにvsnprintf の実装が必要なのですが、このパッチではssh 2のvsnprintfを使うかわりに、 sendmailの実装(これはusenetにながれていたコードを元にしています)を 使っているからです。

ただちにsshパッケージをアップグレードすることをお薦めします。

修正:

All - (リリース 2.1 において) ssh-1.2.26-1.2 All - (リリース 2.1 において) ssh-askpass-1.2.26-1.2