Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3182-1 libssh2

Säkerhetsbulletin från Debian

DSA-3182-1 libssh2 -- säkerhetsuppdatering

Rapporterat den:

2015-03-11

Berörda paket:

libssh2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 780249.
I Mitres CVE-förteckning: CVE-2015-1782.

Ytterligare information:

Mariusz Ziulek rapporterade att libssh2, ett bibliotek för SSH2 på klientsidan läste och använde SSH_MSG_KEXINIT-paketet utan att göra tillräckliga gränskontroller vid förhandlingar med en ny SSH-session med en fjärrserver. En illasinnad angripare kunde göra ett man-in-the-middle-angrepp på en riktig server och orsaka en klient att använda libssh2-biblioteket för att krascha (överbelastning) eller på annat sätt läsa och använda icke menade minnesområden i denna process.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.2-1.1+deb7u1.

Vi rekommenderar att ni uppgraderar era libssh2-paket.