Bug#211205: New Security bug fixed in 3.7?!

To: Debian Bug Tracking System <submit@bugs.debian.org>
Subject: Bug#211205: New Security bug fixed in 3.7?!
From: Christian Hammers <ch@debian.org>
Date: Tue, 16 Sep 2003 15:51:03 +0200
Message-id: <[🔎] 20030916135104.70EBB47C060@xeniac.intern>
Reply-to: Christian Hammers <ch@debian.org>, 211205@bugs.debian.org

Package: ssh
Version: 1:3.6.1p2-6
Severity: critical
Tags: security

Hi

Just in case that this is no fake. I got no official OpenSSH announcement
yet but the 3.7 release it's at least on the master ftp server.
So be prepared... :-)

bye,

-christian-

The following is from a well known german news service:

   OpenSSH 3.7 schließt Sicherheitsloch
   [16.09.2003 15:21 ]

   -
   Ein heute Morgen veröffentlichter Patch schließt eine Schwachstelle in
   OpenSSH bis einschließlich Version 3.6.1. Bei der Schwachstelle
   handelt es sich um einen Fehler in der Funktion buffer_append_space()
   im Modul buffer.c, mit dem ein Angreifer möglicherweise eigenen Code
   einschleusen kann.

   Bei OpenSSH[1] bestätigt man die Schwachstelle und hat ein Advisory
   mit einem Patch sowie die neue Version OpenSSH 3.7[2] veröffentlicht,
   die das Problem -- eine Memory Corruption im Heap -- behebt. Bislang
   ist nach Aussage von OpenSSH aber unklar, ob das Sicherheitsproblem
   mittels eines Exploits überhaupt ausnutzbar ist. Im Laufe des heutigen
   Morgens haben verschiedene Internet-Provider und Rechzentren ein
   deutlich erhöhtes Traffic-Aufkommen auf Port 22 registriert -- es
   könnte sich dabei um einen Scanner handeln, der nach anfälligen
   OpenSSH-Versionen sucht.

   Anwender und Administratoren sollten schnellstmöglich auf die aktuelle
   OpenSSH-Version 3.7 updaten oder die bereitgestellten Patches
   einspielen. Als Workaround bis zur Update-Möglichkeit empfiehlt sich,
   den SSH-Port so zu filtern, dass nur bekannte IP-Adressen darauf
   zugreifen können. (pab[3]/c't)
     _________________________________________________________________

   URL dieses Artikels:
     http://www.heise.de/newsticker/data/pab-16.09.03-000/

   Links in diesem Artikel:
     [1] http://www.openssh.org
     [2] ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.7p1
   .tar.gz
     [3] mailto:pab@ct.heise.de
     _________________________________________________________________

   Copyright 2003 by Heise Zeitschriften Verlag



-- System Information:
Debian Release: testing/unstable
Architecture: i386
Kernel: Linux xeniac 2.4.22 #1 Fr Sep 5 09:58:57 CEST 2003 i686
Locale: LANG=de_DE, LC_CTYPE=de_DE (ignored: LC_ALL set to de_DE)

Versions of packages ssh depends on:
ii  adduser                     3.51         Add and remove users and groups
ii  debconf                     1.3.13       Debian configuration management sy
ii  libc6                       2.3.2-6      GNU C Library: Shared libraries an
ii  libpam-modules              0.76-14      Pluggable Authentication Modules f
ii  libpam0g                    0.76-14      Pluggable Authentication Modules l
ii  libssl0.9.7                 0.9.7b-2     SSL shared libraries
ii  libwrap0                    7.6-ipv6.1-3 Wietse Venema's TCP wrappers libra
ii  zlib1g                      1:1.1.4-14   compression library - runtime

-- debconf information excluded

Reply to:

Follow-Ups:
- Bug#211205: New Security bug fixed in 3.7?!
  - From: Colin Watson <cjwatson@debian.org>
- Bug#211205: New Security bug fixed in 3.7?!
  - From: Florian Weimer <fw@deneb.enyo.de>
- Bug#211205: marked as done (New Security bug fixed in 3.7?!)
  - From: owner@bugs.debian.org (Debian Bug Tracking System)

Prev by Date: Accepted openssh 1:3.6.1p2-6.0 (i386 source)
Next by Date: Bug#211205: New Security bug fixed in 3.7?!
Previous by thread: Accepted openssh 1:3.6.1p2-6.0 (i386 source)
Next by thread: Bug#211205: New Security bug fixed in 3.7?!
Index(es):
- Date
- Thread