• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2894-1 openssh -- обновление безопасности

Главная Специалистам База уязвимостей DSA-2894-1 openssh -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Описание
В OpenSSH, реализации набора протоколов SSH, были обнаружены две
уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:

CVE-2014-2532
Янн Хорн обнаружил, что OpenSSH некорректно обрабатывает шаблоны в
    строках AcceptEnv. Удалённый атакующий может использовать эту проблему для того, чтобы заставить
    OpenSSH принимать любую переменную окружения, содержащую
    символы после символа шаблона.
CVE-2014-2653
Мэтью Вернон сообщил, что если сервер SSH предлагает
    HostCertificate, не принимаемый клиентом ssh, то клиент
    не проверяет DNS для записей SSHFP. Как следствие,
    сервер может отключить проверку SSHFP, предоставив
    сертификат.
Заметьте, что сообщение о проверке узла всё ещё отображается до
    начала процесса соединения.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1:5.5p1-6+squeeze5.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1:6.0p1-4+deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1:6.6p1-1.
Рекомендуется обновить пакеты openssh.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
openssh - 1:5.5p1-6+squeeze5
Debian GNU/Linux 7:
noarch:
openssh - 1:6.0p1-4+deb7u1
Ссылки
http://www.debian.org/security/dsa-2894/

Источник: CVE
Наименование: CVE-2014-2532
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2532

Источник: CVE
Наименование: CVE-2014-2653
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2653