blob: 68c794cad6b07ae0b45a49e4aef7f261590406ca (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>överbelastningsattack</define-tag>
<define-tag moreinfo>
<p>Det har upptäckts att signalhanteraren som implementerar
inloggningstimeout i Debians version av OpenSSH-servern använder funktioner som
inte är async-signalsäkra, vilket leder till en överbelastningsattackssårbarhet
(<a href="https://security-tracker.debian.org/tracker/CVE-2008-4109">CVE-2008-4109</a>).</p>
<p>Problemet rättades ursprungligen i OpenSSH 4.4p1 (<a href="https://security-tracker.debian.org/tracker/CVE-2006-5051">CVE-2006-5051</a>),
men den rättning som bakåtanpassades
till versionen som finns i Etch var inkorrekt.
</p>
<p>System som berörs av det här problemet lider av ett stort antal zombieprocesser för sshd.
Processer som fastnar med processtiteln "[net]" har också
observerats. Med tiden kan ett stort antal processer ansamlas
så att ytterligare inloggningsförsök blir omöjliga. Förekomst av sådana
processer indikerar inte aktivt utnyttjande av den här sårbarheteten.
Det är möjligt att skapa den här överbelastningsattacken av misstag.</p>
<p>För den stabila utgåvan (Etch) har detta problem rättats i
version 4.3p2-9etch3.</p>
<p>För den instabila utgåvan (Sid) och uttestningsutgåvan
(Lenny) har detta problem rättats i version 4.6p1-1.</p>
<p>Vi rekommenderar att ni uppgraderar era openssh-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1638.data"
|
