Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Pour la branche stable, lsh versions 1.4.2 et antérieures ;
- Pour la branche de développement, lsh versions 1.5, 1.5.1, 1.5.2.
Résumé
Une vulnérabilité dans lsh permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les droits de root.
Description
lsh est une implémentation GNU du protocole SSH (Secure SHell). Une vulnérabilité de type débordement de mémoire, permet à un utilisateur mal intentionné d'exécuter du code avec les droits de root.Solution
Mettre à jour lsh en version 1.4.3 (branche stable) ou 1.5.3 (branche de développement). Téléchargement de lsh :
http://www.lysator.liu.se/˜nisse/archive/
Documentation
- Site de lsh :
http://www.lysator.liu.se/˜nisse/lsh/
- Avis de sécurité SuSE Linux SuSE-SA:2003:041 :
http://www.suse.de/de/security/2003_041_lsh.html