"New openssh packages fix denial of service (http://lists.debian.org/debian-security-announce/2008/msg002...)" - DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux. Используя проблему в обработчике сигналов openssh, удаленный злоумышленник может вызвать блокировку SSH доступа, наводнив систему зомби-процессами sshd.URL: http://lists.debian.org/debian-security-announce/2008/msg002...
Новость: http://www.opennet.me/opennews/art.shtml?num=18002
Дебиян на воде работает? Может быть наплодит, а не наводнит?
Что-то в последнее время OpenSSH прорвало на дыры. :(
Эта уязвимость актуальна только для Debian?
>Что-то в последнее время OpenSSH прорвало на дыры. :(
>Эта уязвимость актуальна только для Debian?По ссылке:
Debian-specific: no
судя по всему, эта уязвимость есть только в Debian`е и OpenBSD.
по крайней мере, ее не было и нет в CentOS и RHEL.Vulnerability Summary for CVE-2008-4109
A certain Debian patch for OpenSSH before 4.3p2-9etch3 on etch,
and before 4.6p1-1 on sid and lenny, uses functions that are
not async-signal-safe in the signal handler for login timeouts,
which allows remote attackers to cause a denial of service
(connection slot exhaustion) via multiple login attempts.
NOTE: this issue exists because of an incorrect fix for CVE-2006-5051.Official Statement from Red Hat
Not vulnerable. The patch used to fix CVE-2006-5051
in Red Hat Enterprise Linux 2.1, 3, 4, and 5
was complete and does not suffer from this problem.
>судя по всему, эта уязвимость есть только в Debian`е и OpenBSD.Как-то подозрительно и неубедительно это звучит.
>>судя по всему, эта уязвимость есть только в Debian`е и OpenBSD.
>
>Как-то подозрительно и неубедительно это звучит.согласен. я убедился только, что нет уязвимости в CentOS и RHEL,
и дальше не стал искать. а источник информации у меня был один:http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4109
уязвимы ли какие-то другие системы кроме Debian и OpenBSD -
(например, Ubuntu) - я и сам в этом не убедился на все 100%.