Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Описание
В OpenSSH, реализации набора протоколов SSH, были обнаружены две
уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2014-2532
Янн Хорн обнаружил, что OpenSSH некорректно обрабатывает шаблоны в
строках AcceptEnv. Удалённый атакующий может использовать эту проблему для того, чтобы заставить
OpenSSH принимать любую переменную окружения, содержащую
символы после символа шаблона.
CVE-2014-2653
Мэтью Вернон сообщил, что если сервер SSH предлагает
HostCertificate, не принимаемый клиентом ssh, то клиент
не проверяет DNS для записей SSHFP. Как следствие,
сервер может отключить проверку SSHFP, предоставив
сертификат.
Заметьте, что сообщение о проверке узла всё ещё отображается до
начала процесса соединения.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1:5.5p1-6+squeeze5.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1:6.0p1-4+deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1:6.6p1-1.
Рекомендуется обновить пакеты openssh.
уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2014-2532
Янн Хорн обнаружил, что OpenSSH некорректно обрабатывает шаблоны в
строках AcceptEnv. Удалённый атакующий может использовать эту проблему для того, чтобы заставить
OpenSSH принимать любую переменную окружения, содержащую
символы после символа шаблона.
CVE-2014-2653
Мэтью Вернон сообщил, что если сервер SSH предлагает
HostCertificate, не принимаемый клиентом ssh, то клиент
не проверяет DNS для записей SSHFP. Как следствие,
сервер может отключить проверку SSHFP, предоставив
сертификат.
Заметьте, что сообщение о проверке узла всё ещё отображается до
начала процесса соединения.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1:5.5p1-6+squeeze5.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1:6.0p1-4+deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1:6.6p1-1.
Рекомендуется обновить пакеты openssh.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
openssh - 1:5.5p1-6+squeeze5
Debian GNU/Linux 7:
noarch:
openssh - 1:6.0p1-4+deb7u1
Debian GNU/Linux 6:
noarch:
openssh - 1:5.5p1-6+squeeze5
Debian GNU/Linux 7:
noarch:
openssh - 1:6.0p1-4+deb7u1
Ссылки
http://www.debian.org/security/dsa-2894/
Источник: CVE
Наименование: CVE-2014-2532
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2532
Источник: CVE
Наименование: CVE-2014-2653
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2653
Источник: CVE
Наименование: CVE-2014-2532
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2532
Источник: CVE
Наименование: CVE-2014-2653
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2653