blob: e1cd303a783709741b500b5eb5f4ebbcdf5af6ca (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
|
#use wml::debian::translation-check translation="6267e9a2f71dd5e3a12c5eb13f60f528bb7e8b4b"
<define-tag description>ファイルデスクリプタ漏洩</define-tag>
<define-tag moreinfo>
<p>Stefan Pfetzing さんが、Secure Shell v2 (SSH2) プロトコルサーバ
lshd が乱数発生器に関連するファイルデスクリプタをいくつか、lshd
により起動されたユーザシェルに漏洩させることを発見しました。
ローカルの攻撃者がサーバのシードファイルを切りつめることが可能で、
サーバの起動を妨害する可能性があり、いくらか手間を加えることにより、
おそらくセッションの鍵のクラックにつながります。</p>
<p>この更新の適用後、サーバのシードファイル (/var/spool/lsh/yarrow-seed-file)
を削除し、root で「lsh-make-seed --server」により再生成してください。</p>
<p>セキュリティ上の理由により、lsh-make-seed
は実際にそれを実行するシステム上のコンソールから実行する必要があります。
lsh-make-seed をリモートシェルから使うと、タイミング情報を lsh-make-seed
がランダムシードを作成するのに利用しますがおそらく失敗します。
必要であれば、ランダムシードを異なるシステムで lsh-utils
パッケージをインストールして「lsh-make-seed -o my-other-server-seed-file」
を実行することにより生成することができます。
それから安全な接続を使って目的のシステムにシードを転送できます。</p>
<p>旧安定版 (old stable) ディストリビューション
(woody) にはこの問題による影響はありません。</p>
<p>安定版 (stable) ディストリビューション (sarge)
では、この問題はバージョン 2.0.1-3sarge1 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 2.0.1cdbs-4 で修正されています。</p>
<p>直ちに lsh-server パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-956.data"
|
