[Bug 426245] [NEW] german only: OpenSSH gibt Angreifern zu viele Informationen preis

[Neumann]

*** This bug is a security vulnerability ***

Public security bug reported:

Binary package hint: openssh-server

Sorry, german bug-report only.

Ich benutze Ubuntu 8.04 (LTS) Server und bin gerade dabei ihn
abzusichern. Leider bekomme ich es nicht hin OpenSSH zum schweigen zu
bringen! Der OpenSSH Dienst meldet sich immer mit "OpenSSH 4.7p1 Debian
8ubuntu1.2 (protocol 2.0)" ... mich stört das er so viel detailiert über
Versionsnummern plaudert.

Man hat mir empfohlen die Quellen neu zu bauen, das halte ich für Bug-
Report-Würdig. Es reicht die SSH Version und welches Protokoll verwendet
wird: Aus der OpenSSH-FAQ "OpenSSH, like most SSH implementations,
reports its name and version to clients when they connect, e.g.
SSH-2.0-OpenSSH_3.9".

Gruß
Willi

# lsb_release -rd
Description:    Ubuntu 8.04.3 LTS
Release:        8.04

#apt-cache policy openssh-server
openssh-server:
  Installed: 1:4.7p1-8ubuntu1.2
  Candidate: 1:4.7p1-8ubuntu1.2
  Version table:
 *** 1:4.7p1-8ubuntu1.2 0
        500 http://update.onlinehome-server.info hardy-updates/main Packages
        500 http://update.onlinehome-server.info hardy-security/main Packages
        100 /var/lib/dpkg/status
     1:4.7p1-8ubuntu1 0
        500 http://update.onlinehome-server.info hardy/main Packages

** Affects: openssh (Ubuntu)
     Importance: Undecided
         Status: New


** Tags: openssh security

** Visibility changed to: Public

-- 
german only: OpenSSH gibt Angreifern zu viele Informationen preis
https://bugs.launchpad.net/bugs/426245
You received this bug notification because you are a member of Ubuntu
Server Team, which is subscribed to openssh in ubuntu.