UPDATE: DFN-CERT-2015-0333 Bibliothek libssh2: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2015-0333 Bibliothek libssh2: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (13.03.2015):
Für Red Hat Fedora 20, 21 und 22 werden aktuelle Pakete
libssh2-1.5.0-1.fc20, libssh2-1.5.0-1.fc21, bzw. libssh2-1.5.0-1.fc22
(alle im Status “testing”) zur Verfügung gestellt, um diese Schwachstellen
zu beheben.
Version 1 (11.03.2015):
Neues Advisory

Betroffene Software:

Bibliothek libssh <= libssh2 1.4.2 Betroffene Plattformen: Debian Linux 7.7 Wheezy Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Eine Schwachstelle in der Bibliothek libssh2 ermöglicht einem entfernten, nicht authentifizierten Angreifer Informationen auszuspähen. Patch: Debian Security Advisory DSA-3182-1 https://www.debian.org/security/2015/dsa-3182

Patch:

Fedora Security Update FEDORA-2015-3757

https://admin.fedoraproject.org/updates/FEDORA-2015-3757/libssh2-1.5.0-1.fc22

Patch:

Fedora Security Update FEDORA-2015-3791

https://admin.fedoraproject.org/updates/FEDORA-2015-3791/libssh2-1.5.0-1.fc20

Patch:

Fedora Security Update FEDORA-2015-3797

https://admin.fedoraproject.org/updates/FEDORA-2015-3797/libssh2-1.5.0-1.fc21

CVE-2015-1782: Schwachstelle in libssh2 ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in der libssh2 führt dazu, dass SSH_MSG_KEXINIT Pakete
ohne ausreichenden Bereichsüberprüfung beim Aushandeln einer neuen SSH
Verbindung gelesen und verwendet werden. Ein Man-in-the-Middle kann nicht
beabsichtigte Speicherbereiche innerhalb des Processes lesen oder benutzen
oder einen Denial-of-Service-Zustand herbeiführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0333/

Debian Security Advisory DSA-3182-1:
https://www.debian.org/security/2015/dsa-3182

Schwachstelle CVE-2015-1782 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1782

Fedora Security Update FEDORA-2015-3757:
https://admin.fedoraproject.org/updates/FEDORA-2015-3757/libssh2-1.5.0-1.fc22

Fedora Security Update FEDORA-2015-3791:
https://admin.fedoraproject.org/updates/FEDORA-2015-3791/libssh2-1.5.0-1.fc20

Fedora Security Update FEDORA-2015-3797:
https://admin.fedoraproject.org/updates/FEDORA-2015-3797/libssh2-1.5.0-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben