Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3488-1 libssh

Säkerhetsbulletin från Debian

DSA-3488-1 libssh -- säkerhetsuppdatering

Rapporterat den:

2016-02-23

Berörda paket:

libssh

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 815663.
I Mitres CVE-förteckning: CVE-2016-0739.

Ytterligare information:

Aris Adamantiadis upptäckte att libssh, ett litet C-SSH-bibliotek, felaktigt genererar en kortlivad hemlighet för nyckelväxlingsmetoderna diffie-hellman-group1 och diffie-hellman-group14. Den resulterande hemligheten är 128 bitar lång, istället för de rekommenderade storlekarna på 1024 respektive 2048 bitar. Denna brist kunde orsaka en tjuvlyssnare med tillräckliga resurser att dekryptera eller snappa upp SSH-sessioner.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 0.5.4-1+deb7u3. Denna uppdatering inkluderar även rättningar för CVE-2014-8132 och CVE-2015-3146, som tidigare har schemalagts för nästa Wheezy-punktutgåva.

För den stabila utgåvan (Jessie) har detta problem rättats i version 0.6.3-4+deb8u2.

Vi rekommenderar att ni uppgraderar era libssh-paket.