Säkerhetsbulletin från Debian
sshd -- buffertspill i loggning
- Rapporterat den:
- 1998-12-10
- Berörda paket:
- ssh
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
- Ytterligare information:
-
Det har förekommit en hel del förvirring om ssh på sista tiden:
vissa tror sig ha fått sina system hackade via ssh, trots att ingen har
lyckats tillverka kod som utnyttjar något problem.
För att undvika möjliga problem har vi patchat ssh för att rätta möjliga
buffertspill.
Vi tror att detta kommer att stoppa alla attacker som finns tillgängliga.
Detta inkluderar även rättningarna i kerberoskoden som distribuerades.
Notera att denna patch inte är sårbar för de licensproblem som andra cirkulerade patchar har, eftersom den inte använder vsnprintf-implementationen från ssh 2, utan använder istället kod från sendmail (som baserades på kod från usenet) för system som inte har vsnprintf i sin libc.
Vi rekommenderar att du uppgraderar ditt ssh-paket omedelbart.
- Rättat i:
- All - (i utgåva 2.1) ssh-1.2.26-1.2 All - (i utgåva 2.1) ssh-askpass-1.2.26-1.2