Debian セキュリティ勧告

DSA-382-3 ssh -- リモートから攻撃可能とみられる脆弱性

報告日時:

2003-09-16

影響を受けるパッケージ:

ssh

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2003-0693, CVE-2003-0695, CVE-2003-0682.
CERT の脆弱性リスト、勧告および付加情報: VU#333628, CA-2003-24.

詳細:

OpenSSH のバッファの取り扱いにバグが発見されました。このバグは、メモリの再割り当てが失敗した際にバッファサイズを実際よりも大きく扱う可能性があるものです。

DSA-382-2: DSA-382-2: この勧告は以前の DSA-382-1 勧告への追加です: DSA-382-1 に記載したものに加え、さらに 2 つのバッファ取り扱いの問題が見つかりました。これらのバグが攻撃可能であるかどうかは不明ですが、念のためにアップグレードを推奨します。

DSA-382-3: DSA-382-3: この勧告は以前の DSA-382-1 および DSA-382-2 勧告への追加です: Solar Designer さんは攻撃が可能になるであろうバグを OpenSSH でさらに 4 つ発見しました。

安定版ディストリビューション (stable、コードネーム woody) では、これらの問題はバージョン 1:3.4p1-1.woody.3 で修正されています。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:: http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1.orig.tar.gz; http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1-1.woody.3.dsc; http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1-1.woody.3.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_alpha.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_arm.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_hppa.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_i386.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_ia64.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_ia64.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_m68k.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_m68k.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_mips.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_mipsel.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_powerpc.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_s390.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-1.woody.3_sparc.deb; http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-1.woody.3_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。

一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。