T
Tobster
Guest
Neues OpenSSH-Paket für Debian
You are using an out of date browser. It may not display this or other websites correctly.
You should upgrade or use an alternative browser.
You should upgrade or use an alternative browser.
Hallo,
mal abgesehen davon das das schon seit dem 05.10.2006 bekannt ist (bekannt sein sollte) möchte ich noch ein paar Informationen hinzufügen :
Quelle : Linux-Community - [Debian] Schwachstellen in OpenSSH - DSA 1189-1
mal abgesehen davon das das schon seit dem 05.10.2006 bekannt ist (bekannt sein sollte) möchte ich noch ein paar Informationen hinzufügen :
CVE-2006-4924 - Denial of Service Schwachstelle in der OpenSSH
Es besteht ein Fehler im Programmcode der OpenSSH, der einen Angriff
gegen einen alten Fehler in der Implementierung des SSH1 Protokoll
erkennen soll (CRC Compensation Attack). Schickt ein Angreifer eine
entsprechend manipulierte Anfrage an den SSH Daemon, verbraucht dieser
sehr viel Rechenzeit (Denial of Service).
Der Angriff kann ohne vorherige Authentifikation durchgefuehrt werden
und Programme zur Ausnutzung der Schwachstelle bereits oeffentlich
verfuegbar.
CVE-2006-5051 - Race Condition im OpenSSH Signal Handler
Es existiert eine Race Condition bei der Bearbeitung von Signalen in
der OpenSSH. Ein entfernter Angreifer kann den SSH Daemon dadurch zum
Absturz bringen und evtl. ist es auch moeglich beliebige Befehle mit
den Rechten des Daemon auszufuehren. Fuer einen erfolgreichen Angriff
muss die Authentifikation ueber die GSSAPI aktiviert ist.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket openssh-krb5 in der stable Distribution (sarge) vor Version
3.8.1p1-7sarge1.
Paket openssh-krb5 in der unstable Distribution (sid) wurde nicht
gepatcht. Die Schwachstelle wurde im Paket openssh ab Version 4.3p2-4
behoben.
Quelle : Linux-Community - [Debian] Schwachstellen in OpenSSH - DSA 1189-1
T
Tobster
Guest
Hallo,
mal abgesehen davon das das schon seit dem 05.10.2006 bekannt ist (bekannt sein sollte) möchte ich noch ein paar Informationen hinzufügen :
Hallo,
mal abgesehen davon, dass es erst wenige Stunden vor meinem Eintrag auf der Mailingliste wahr, ist es für den ein oder anderen unbedarfteren Administrator eines vServers hier im Forum vielleicht von äußerster Wichtigkeit dies zu wissen!
Nicht desto trotz finde ich es ja toll, dass es schon lange bekannt ist das es die Schwachstelle gibt, nur ist es jetzt schön das es ein neues Paket gibt, dass das ganze behebt. Und nur darum ging es!
Hallo Tobster,
das war nicht böse gemeint!
Ich wollte nur etwas dazu beitragen um die Information zu Vervollständigen zu der Lücke.
Das jetzt erst ein Patch (bzw eine Aktualisierte Fassung) vorhanden ist will ich auf gar keinen Fall bestreiten.
Im übrigen finde ich es auch sehr gut das du solche Dinge hier postest, denn nicht jeder beschäftigt sich mit der Thematik Sicherheit.
Also entschuldige bitte wenn das schlecht geschrieben war.
Wie gesagt, es ging nicht gegen dich und/oder deinen Post!
das war nicht böse gemeint!
Ich wollte nur etwas dazu beitragen um die Information zu Vervollständigen zu der Lücke.
Das jetzt erst ein Patch (bzw eine Aktualisierte Fassung) vorhanden ist will ich auf gar keinen Fall bestreiten.
Im übrigen finde ich es auch sehr gut das du solche Dinge hier postest, denn nicht jeder beschäftigt sich mit der Thematik Sicherheit.
Also entschuldige bitte wenn das schlecht geschrieben war.
Wie gesagt, es ging nicht gegen dich und/oder deinen Post!