Debians sikkerhedsbulletin
DSA-3182-1 libssh2 -- sikkerhedsopdatering
- Rapporteret den:
- 11. mar 2015
- Berørte pakker:
- libssh2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 780249.
I Mitres CVE-ordbog: CVE-2015-1782. - Yderligere oplysninger:
-
Mariusz Ziulek rapporterede at libssh2, et SSH2-klientsidebibliotek, læste og anvendte SSH_MSG_KEXINIT-pakken uden at udføre tilstrækkelige grænsekontroller, når der blev forhandlet en ny SSH-session med en fjern server. En ondsindet angriber kunne udgive sig for at være en rigtig server (manden i midten) og forårsage at klienten, som anvender libssh2-biblioteket, gik ned (lammelsesangreb) samt ellers læse og anvende utilsigtede hukommelsesområder under processen.
I den stabile distribution (wheezy), er dette problem rettet i version 1.4.2-1.1+deb7u1.
Vi anbefaler at du opgraderer dine libssh2-pakker.