[Lugge] Re: ssh vulnerability

  • From: Roberto A.F. <robang@xxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Wed, 26 Jun 2002 21:23:28 +0200

On Wed, 26 Jun 2002 21:00:10 +0200
Giorgio Andreoletti <giorgio.andreoletti@xxxxxxxxxxxxxx> wrote:

> 
> >Chi ha la porta 22 aperta è seriamente avvisato di upgradare
> >il pacchetto openssh.
> 
> n fermiiiiiiiiii !!!!! !!!!! non upgradate nulla, plz !  :-))))
> 
> in effetti, credo che in pochi abbiano aggiornato openssh alla
> ultimissima release (3.3), uscita proprio negli scorsi giorni, ed è
> *SOLO* questa release ad essere bakata, quindi aggiornando ci si
> espone al bug, non lo si risolve !
> La soluzione (tampone) è quella dell' "UsePrivilegeSeparation yes", 
> aspettando il rilascio della nuova release 3.4 che è schedulato per
> lunedì prox. Tenetevi (e teniamoci, sul server) la 3.2.3 che è
> l'ultima sicura !
> 

 OpenSSH 3.4 released June 26, 2002.
Contains support for SSH1 and SSH2 protocols.

At least one major security vulnerability exists in many deployed
OpenSSH versions (2.9.9 to 3.3). Please see the ISS advisory, or our own
OpenSSH advisory on this topic where simple patches are provided for the
pre-authentication problem. Systems running with UsePrivilegeSeparation
yes or ChallengeResponseAuthentication no are not affected.

The 3.4 release contain many other fixes done over a week long audit
started when this issue came to light. We believe that some of those
fixes are likely to be important security fixes. Therefore, we urge an
upgrade to 3.4.

 Gia` uscita almeno la 3.4p1

-- 
   ,__    ,_     ,___   .-------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-.
   ||_)   ||\    ||_   /      Proud Member & Master of the LUGGE   |
   || \   ||¯\   ||¯     linuxgrp: http://lugge.ziobudda.net       |
   ¯¯  ¯° ¯¯  ¯° ¯¯  °   homepage: http://digilander.iol.it/robang |
\  Roberto A. Foglietta  reg num : #219348 by the Linux Counter    |
 `---------------------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-'

<========----------
 Prima di scrivere in m-list per favore leggi il regolamento
 http://lugge.ziobudda.net/soci/manifesto.htm#list

 Archivio delle e-mail postate in lista
 http://www.freelists.org/archives/lugge/

----------========>
 Incontri in sede: martedì 15:00-18:00 e sabato 9:30-12.30
 

Other related posts: