Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
OpenSSH
(1.2, 1.2.1, 1.2.2, 1.2.27, 1.2.3, 2.1, 2.1.1, 2.2, 2.3, 2.5, 2.5.1, 2.5.2, 2.9, 2.9 p1, 2.9 p2, 2.9.9, 2.9.9 p2, 3.0, 3.0 p1, 3.0.1, 3.0.1 p1, 3.0.2, 3.0.2 p1, 3.1, 3.1 p1, 3.2, 3.2.2, 3.2.2 p1, 3.2.3 p1, 3.3, 3.3 p1, 3.4, 3.4 p1, 3.5, 3.5 p1, 3.6, 3.6.1, 3.6.1 p1, 3.6.1 p2, 3.7, 3.7.1, 3.7.1 p1, 3.7.1 p2, 3.8, 3.8.1, 3.8.1 p1, 3.9, 3.9.1, 3.9.1 p1, 4.0, 4.0 p1, 4.1 p1, 4.2, 4.2 p1, 4.3, 4.3 p1)
OpenSSH Server
(4.4)
Описание
OpenSSH содержит уязвимость, которая может позволить злоумышленнику, действующему удаленно, при определенных обстоятельствах выполнить произвольный код. В конфигурации, использующей опознавание GSSAPI, обработчик сигнала подвержен узловому возникновению race condition, что позволяет вызвать отказ в обслуживании и, возможно, выполнить произвольный код. Детали не уточняются. Внимание: На OpenSSH эта уязвимость может быть использована только для удаленного вызова отказа в обслуживании. Условия, при которых возможно удаленное выполнение произвольного кода, рассматриваются как крайне маловероятные.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.openssh.org/
http://www.openssh.org/
Ссылки
MLIST ([openssh-unix-dev] 20060927 Announce: OpenSSH 4.4 released): http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=115939141729160&w=2
FREEBSD (FreeBSD-SA-06:22.openssh): ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:22.openssh.asc
REDHAT (RHSA-2006:0698): http://www.redhat.com/support/errata/RHSA-2006-0698.html
REDHAT (RHSA-2006:0697): http://www.redhat.com/support/errata/RHSA-2006-0697.html
SLACKWARE (SSA:2006-272-02): http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.592566
UBUNTU (USN-355-1): http://www.ubuntu.com/usn/usn-355-1
BID (20241): http://www.securityfocus.com/bid/20241
SECTRACK (1016940): http://securitytracker.com/id?1016940
XF (openssh-signal-handler-race-condition(29254)): http://xforce.iss.net/xforce/xfdb/29254
MLIST ([freebsd-security] 20061002 FreeBSD Security Advisory FreeBSD-SA-06:22.openssh): http://lists.freebsd.org/pipermail/freebsd-security/2006-October/004051.html
DEBIAN (DSA-1189): http://www.debian.org/security/2006/dsa-1189
FREEBSD (FreeBSD-SA-06:22): http://security.freebsd.org/advisories/FreeBSD-SA-06%3A22.openssh.asc
MANDRIVA (MDKSA-2006:179): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:179
CERT-VN (VU#851340): http://www.kb.cert.org/vuls/id/851340
http://www.arkoon.fr/upload/alertes/36AK-2006-07-FR-1.0_FAST360_OPENSSH.pdf
OPENBSD ([2.9] 015: SECURITY FIX: October 12, 2006): http://www.openbsd.org/errata.html#ssh
FRSIRT (ADV-2006-4018): http://www.frsirt.com/english/advisories/2006/4018
http://support.avaya.com/elmodocs2/security/ASA-2006-216.htm
OPENPKG (OpenPKG-SA-2006.022): http://www.openpkg.org/security/advisories/OpenPKG-SA-2006.022-openssh.html
SUSE (SUSE-SA:2006:062): http://www.novell.com/linux/security/advisories/2006_62_openssh.html
http://www.arkoon.fr/upload/alertes/43AK-2006-09-FR-1.0_SSL360_OPENSSH.pdf
SGI (20061001-01-P): ftp://patches.sgi.com/support/free/security/advisories/20061001-01-P.asc
FRSIRT (ADV-2006-4329): http://www.frsirt.com/english/advisories/2006/4329
GENTOO (GLSA-200611-06): http://security.gentoo.org/glsa/glsa-200611-06.xml
DEBIAN (DSA-1212): http://www.debian.org/security/2006/dsa-1212
http://www.vmware.com/support/vi3/doc/esx-3069097-patch.html
http://www.vmware.com/support/vi3/doc/esx-9986131-patch.html
http://docs.info.apple.com/article.html?artnum=305214
FRSIRT (ADV-2007-0930): http://www.frsirt.com/english/advisories/2007/0930
MLIST ([security-announce] 20070409 Globus Security Advisory 2007-02: GSI-OpenSSH vulnerability): http://www-unix.globus.org/mail_archive/security-announce/2007/04/msg00000.html
FRSIRT (ADV-2007-1332): http://www.frsirt.com/english/advisories/2007/1332
http://openssh.org/txt/release-4.4
OSVDB (29264): http://www.osvdb.org/29264
FREEBSD (FreeBSD-SA-06:22.openssh): ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:22.openssh.asc
REDHAT (RHSA-2006:0698): http://www.redhat.com/support/errata/RHSA-2006-0698.html
REDHAT (RHSA-2006:0697): http://www.redhat.com/support/errata/RHSA-2006-0697.html
SLACKWARE (SSA:2006-272-02): http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.592566
UBUNTU (USN-355-1): http://www.ubuntu.com/usn/usn-355-1
BID (20241): http://www.securityfocus.com/bid/20241
SECTRACK (1016940): http://securitytracker.com/id?1016940
XF (openssh-signal-handler-race-condition(29254)): http://xforce.iss.net/xforce/xfdb/29254
MLIST ([freebsd-security] 20061002 FreeBSD Security Advisory FreeBSD-SA-06:22.openssh): http://lists.freebsd.org/pipermail/freebsd-security/2006-October/004051.html
DEBIAN (DSA-1189): http://www.debian.org/security/2006/dsa-1189
FREEBSD (FreeBSD-SA-06:22): http://security.freebsd.org/advisories/FreeBSD-SA-06%3A22.openssh.asc
MANDRIVA (MDKSA-2006:179): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:179
CERT-VN (VU#851340): http://www.kb.cert.org/vuls/id/851340
http://www.arkoon.fr/upload/alertes/36AK-2006-07-FR-1.0_FAST360_OPENSSH.pdf
OPENBSD ([2.9] 015: SECURITY FIX: October 12, 2006): http://www.openbsd.org/errata.html#ssh
FRSIRT (ADV-2006-4018): http://www.frsirt.com/english/advisories/2006/4018
http://support.avaya.com/elmodocs2/security/ASA-2006-216.htm
OPENPKG (OpenPKG-SA-2006.022): http://www.openpkg.org/security/advisories/OpenPKG-SA-2006.022-openssh.html
SUSE (SUSE-SA:2006:062): http://www.novell.com/linux/security/advisories/2006_62_openssh.html
http://www.arkoon.fr/upload/alertes/43AK-2006-09-FR-1.0_SSL360_OPENSSH.pdf
SGI (20061001-01-P): ftp://patches.sgi.com/support/free/security/advisories/20061001-01-P.asc
FRSIRT (ADV-2006-4329): http://www.frsirt.com/english/advisories/2006/4329
GENTOO (GLSA-200611-06): http://security.gentoo.org/glsa/glsa-200611-06.xml
DEBIAN (DSA-1212): http://www.debian.org/security/2006/dsa-1212
http://www.vmware.com/support/vi3/doc/esx-3069097-patch.html
http://www.vmware.com/support/vi3/doc/esx-9986131-patch.html
http://docs.info.apple.com/article.html?artnum=305214
FRSIRT (ADV-2007-0930): http://www.frsirt.com/english/advisories/2007/0930
MLIST ([security-announce] 20070409 Globus Security Advisory 2007-02: GSI-OpenSSH vulnerability): http://www-unix.globus.org/mail_archive/security-announce/2007/04/msg00000.html
FRSIRT (ADV-2007-1332): http://www.frsirt.com/english/advisories/2007/1332
http://openssh.org/txt/release-4.4
OSVDB (29264): http://www.osvdb.org/29264