Bulletin d'alerte Debian

DSA-382-3 ssh -- Faille de sécurité possible à distance

Date du rapport :

16 septembre 2003

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2003-0693, CVE-2003-0695, CVE-2003-0682.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#333628, CA-2003-24.

Plus de précisions :

Un bogue a été trouvé dans la gestion des tampons d'OpenSSH où un tampon pouvait être marqué comme agrandi alors que la réallocation réelle eût pu échouer.

DSA-382-2 : Cette alerte vient s'ajouter à la précédente alerte DSA-382-1 : deux nouveaux problèmes de traitement des tampons ont été découverts en plus de celui qui avait décrit dans la DSA-382-1. Nous ne savons pas si ces failles sont exploitables, mais nous vous conseillons d'entreprendre une mise à jour.

DSA-382-3 : Cette alerte vient s'ajouter aux précédentes alertes DSA-382-1 et DSA-382-2 : Solar Designer a découvert quatre nouveaux bogues dans OpenSSH qui pourraient être exploitables.

Pour la distribution stable Debian (Woody), ces bogues ont été corrigés dans la version 1:3.4p1-1.woody.3.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1.orig.tar.gz; http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1-1.woody.3.dsc; http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1-1.woody.3.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_alpha.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_arm.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_hppa.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_i386.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_ia64.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_ia64.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_m68k.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_m68k.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_mips.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_mipsel.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_powerpc.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_s390.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_sparc.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.