Debian openssh-server强迫命令处理信息泄露漏洞

日期: 2012/04/26 | 标签: | 游览:447

受影响系统:

Debian openssh-server 1:5.5p1-6+squeeze1
AVAYA 96×1 IP Deskphone 6.2
AVAYA 96×1 IP Deskphone 6

描述:

BUGTRAQ  ID: 53247
CVE ID: CVE-2012-0726,CVE-2012-0743

openssh-server软件包提供 sshd 服务器。

在OpenSSH 5.7之前版本中,其sshd内auth-options.c中的auth_parse_options函数提供了包含authorized_keys命令选项的调试信息,在实现上存在信息泄露漏洞,成功利用后可允许攻击者获取敏感信息。

<*来源:vendor

链接:https://downloads.avaya.com/css/P8/documents/100161262
*>

建议:

厂商补丁:

Debian
——
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.debian.org/security/

评论关闭。