]> git.ipfire.org Git - ipfire-2.x.git/commit
projects / ipfire-2.x.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: e9af24f) | patch
libssh: Update to version 0.9.6
authorAdolf Belka <adolf.belka@ipfire.org>
Sun, 5 Sep 2021 11:30:32 +0000 (13:30 +0200)
committerArne Fitzenreiter <arne_f@ipfire.org>
Fri, 10 Sep 2021 16:57:06 +0000 (16:57 +0000)
commit6cc834c9875f45030a9d209ff1669dd2f28ab5de
treefce5e401b1256fa88084e99849854ee1e30e324etree | snapshot
parente9af24f34cf93b54da8b577e10233f509d968e2dcommit | diff
libssh: Update to version 0.9.6

- Update from 0.9.3 to 0.9.6
   0.9.4 and 0.9.6 are security releases
- Update rootfile
- Changelog
   libssh 0.9.6 security release
    This is a security release of libssh to address CVE-2021-3634 (moderate impact), a
    possible heap-buffer overflow when rekeying. A workaround exists. More details can be
    found in the advisory.
    In addition the 0.9.6 version addresses some memory leaks in error path, an AEAD
    handshake and some more.
      CVE-2021-3634: Fix possible heap-buffer overflow when rekeying with different key exchange mechanism
      Fix several memory leaks on error paths
      Reset pending_call_state on disconnect
      Fix handshake bug with AEAD ciphers and no HMAC overlap
      Use OPENSSL_CRYPTO_LIBRARIES in CMake
      Ignore request success and failure message if they are not expected
      Support more identity files in configuration
      Avoid setting compiler flags directly in CMake
      Support build directories with special characters
      Include stdlib.h to avoid crash in Windows
      Fix sftp_new_channel constructs an invalid object
      Fix Ninja multiple rules error
      Several tests fixes
   libssh 0.9.5
    The libssh team is happy to announce another bugfix release of libssh as version
    0.9.5. It offers bug fixes for several issues found by our users.
    This includes a fix for CVE-2020-16135, however we do not see how this would be
    exploitable at all. If you find a security bug in libssh please don’t just assign a
    CVE, talk to us first.
      CVE-2020-16135: Avoid null pointer dereference in sftpserver (T232)
      Improve handling of library initialization (T222)
      Fix parsing of subsecond times in SFTP (T219)
      Make the documentation reproducible
      Remove deprecated API usage in OpenSSL
      Fix regression of ssh_channel_poll_timeout() returning SSH_AGAIN
      Define version in one place (T226)
      Prevent invalid free when using different C runtimes than OpenSSL (T229)
      Compatibility improvements to testsuite
   libssh 0.9.4 security release
    This is a security release of libssh to address CVE-2020-1730 (moderate impact), a
    possible Denial of Service (DoS) in client and server when handling AES-CTR keys with
    OpenSSL. A workaround exists. More details can be found in the advisory.
    In addition the this version addresses several memory leaks and adds support for
    diffie-hellman-group14-sha256 key exchange.
      Fixed CVE-2020-1730 (Possible DoS in client and server when handling AES-CTR keys with OpenSSL)
      Added diffie-hellman-group14-sha256
      Fixed several possible memory leaks

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Reviewed-by: Michael Tremer <michael.tremer@ipfire.org>
Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
config/rootfiles/common/libssh diff | blob | blame | history
lfs/libssh diff | blob | blame | history
IPFire 2.x development tree