Additional comments: ssh may attempt to zero and free the buffer from
authorMatthew Dillon <dillon@dragonflybsd.org>
Tue, 16 Sep 2003 16:59:41 +0000 (16:59 +0000)
committerMatthew Dillon <dillon@dragonflybsd.org>
Tue, 16 Sep 2003 16:59:41 +0000 (16:59 +0000)
fatal().  The incorrect buffer size at the time fatal() is called will
cause it to zero an area larger then has actually been allocated.  Since
meta-data is not inline with the allocation on FreeBSD (and hence DragonFly)
systems it is believed that the worst that can happen is a crash.  On linux
systems, however, it may be possible to exploit the flaw to gain elevated
privs.

crypto/openssh/buffer.c

index 1cdfc0b..97ce19d 100644 (file)
@@ -10,7 +10,7 @@
  * incompatible with the protocol description in the RFC file, it must be
  * called by a name other than "ssh" or "Secure Shell".
  *
- * $DragonFly: src/crypto/openssh/Attic/buffer.c,v 1.2 2003/09/16 16:12:00 drhodus Exp $
+ * $DragonFly: src/crypto/openssh/Attic/buffer.c,v 1.3 2003/09/16 16:59:41 dillon Exp $
  */
 
 #include "includes.h"