Рекомендация Debian по безопасности
sshd -- переполнения буфера при журналировании
- Дата сообщения:
- 10.12.1998
- Затронутые пакеты:
- ssh
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
- Более подробная информация:
-
В последнее время создалась путаница по поводу ssh: некоторые люди полагают, что
их системы были взломаны через ssh, хотя никто не может воспроизвести
эксплоит. Чтобы избежать возможных проблем, мы
наложили заплаты на ssh, исправляющие любые возможные переполнения буфера. Мы полагаем, что это
позволит остановить любую атаку, которая может быть предпринята. Кроме того, наши заплаты включают в себя
исправления кода kerberos, который поставляется нами.
Заметьте, что эта заплата не страдает от лицензионных проблем, которые имеются у других распространяемых в сообществе заплат, поскольку она на использует реализацию vsnprintf из ssh 2, а использует код из sendmail (который основан на коде из сети usenet) для систем, которые не имеют vsnprintf в libc.
Рекомендуется как можно скорее обновить пакет ssh.
- Исправлено в:
- All - (в выпуске 2.1) ssh-1.2.26-1.2 All - (в выпуске 2.1) ssh-askpass-1.2.26-1.2