Debian-Sicherheitsankündigung
DSA-956-1 lsh-server -- Dateideskriptor-Leck
- Datum des Berichts:
- 26. Jan 2006
- Betroffene Pakete:
- lsh-utils
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 349303.
In Mitres CVE-Verzeichnis: CVE-2006-0353. - Weitere Informationen:
-
Stefan Pfetzing entdeckte, dass Lshd, ein Secure Shell v2 (SSH2) Protokoll-Server, einige Dateideskriptoren, die in Bezug zum Zufalls-Generator stehen, in von Lshd gestartete Benutzer-Shells streut. Ein lokaler Angreifer kann die Seed-Datei des Servers verstümmeln, was ein Starten des Servers verhindern mag, und mit etwas mehr Aufwand vielleicht auch Session-Schlüssel knacken.
Nachdem Sie diese Aktualisierung einspielen, sollten Sie die Seed-Datei des Servers (/var/spool/lsh/yarrow-seed-file) entfernen und mittels des Befehls
lsh-make-seed --server
als root wieder neu erstellen.Aus Sicherheitsgründen muss lsh-make-seed wirklich von der Konsole des Systems aus aufgerufen werden, auf dem es auch läuft. Falls Sie lsh-make-seed über eine entfernte Shell aufrufen, werden die Timing-Informationen, die lsh-make-seed zur Erstellung seines Random Seeds verwendet, wahrscheinlich defekt sein. Falls notwendig können Sie den Random Seed auf einem anderen System als demjenigen erstellen, auf welchem er letztendlich sein soll, indem Sie das lsh-utils-Paket installieren und den Befehl
lsh-make-seed -o my-other-server-seed-file
ausführen. Sie können dann den Seed über eine sichere Verbindung auf das Zielsystem befördern.Die alte Stable-Distribution (Woody) ist von diesem Problem wohl nicht betroffen.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 2.0.1-3sarge1 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.0.1cdbs-4 behoben.
Wir empfehlen Ihnen, Ihr Lsh-server-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1.dsc
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils-doc_2.0.1-3sarge1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_alpha.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_alpha.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_alpha.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_arm.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_arm.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_arm.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_i386.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_i386.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_i386.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_ia64.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_ia64.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_ia64.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_hppa.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_hppa.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_hppa.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_m68k.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_m68k.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_m68k.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_mips.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_mips.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_mips.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_mipsel.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_mipsel.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_mipsel.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_powerpc.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_powerpc.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_powerpc.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_s390.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_s390.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_s390.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_sparc.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_sparc.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_sparc.deb
- http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.