1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
|
#use wml::debian::translation-check translation="02539375cf4e79fedbabd127ef30c14bb4541366" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Qualys säkerhetsgrupp upptäckte två sårbarheter i roamingkoden i
OpenSSH-klienten (en implementation av SSH-protokolluppsättningen).</p>
<p>SSH roaming aktiverar att en klient, kan fortsätta vid ett senare tillfälle
om en SSH-anslutning bryts oväntat, antaget att även servern
stödjer det.</p>
<p>OpenSSH-servern stödjer inte roaming, med OpenSSH-klienten stödjer det
(även om det inte är dokumenterat) och det är aktiverat som standard.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0777">CVE-2016-0777</a>
<p>Ett informationsläckage (avslöjande av minne) kan exploateras av en
illasinnad SSH-server för att lura en klient till att läcka käsnlig data
från klientminne, inklusive exempelvis privata nycklar.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0778">CVE-2016-0778</a>
<p>Ett buffertspill (som leder till läckage av filbeskrivare), kan även
exploateras av en illasinnad SSH-server, men på grund av ett annat fel
i koden är det möjligen inte exploaterbart, och då endast under vissa
omständigheter (inte under standardkonfigurationen), vid användning av
ProxyCommand, ForwardAgent eller ForwardX11.</p></li>
</ul>
<p>Denna säkerhetsuppdatering inaktiverar roamingkoden i OpenSSH-klienten
fullständigt.</p>
<p>Det är även möjligt att inaktivera roaming genom att lägga till (det
odokumenterade) alternativet <q>UseRoaming no</q> till den globala
/etc/ssh/ssh_config-filen, eller till användarkonfigurationen i
~/.ssh/config, eller genom att skicka -oUseRoaming=no till
kommandoraden.</p>
<p>Användare med privata nycklar utan lösenord, speciellt i icke-interaktiva
setups (automatiserade jobb med hjälpa av ssh, scp, rsync+ssh, osv.)
råds att uppdatera sina nycklar om de har anslutit till en SSH-server som
de inte litar på.</p>
<p>Mera detaljer om att identifiera en attack och lindringar kommer att
finnas tillgängliga i Qualys säkerhetsbulletin.</p>
<p>För den gamla stabila utgåvan (Wheezy) har dessa problem rättats
i version 1:6.0p1-4+deb7u3.</p>
<p>För den stabila utgåvan (Jessie) har dessa problem rättats i
version 1:6.7p1-5+deb8u1.</p>
<p>För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), kommer
dessa problem att rättas i en senare version.</p>
<p>Vi rekommenderar att ni uppgraderar era openssh-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3446.data"
|
