<p dir="ltr">Sent from my Android Smartphone</p>
<div class="gmail_quote">---------- Forwarded message ----------<br>From: "Andreas Schneider" <<a href="mailto:asn@cryptomilk.org">asn@cryptomilk.org</a>><br>Date: Apr 30, 2015 10:33 AM<br>Subject: libssh 0.6.5 has been released to address CVE-2015-3146<br>To:  <<a href="mailto:libssh@libssh.org">libssh@libssh.org</a>><br>Cc: <br><br type="attribution">ibssh versions 0.5.1 and above have a logical error in the handling of a<br>
SSH_MSG_NEWKEYS and SSH_MSG_KEXDH_REPLY package. A detected error did not set<br>
the session into the error state correctly and further processed the packet<br>
which leads to a null pointer dereference. This is the packet after the<br>
initial key exchange and doesn’t require authentication.<br>
<br>
This could be used for a Denial of Service (DoS) attack.<br>
<br>
The bug was found and reported by Mariusz Ziulek from the Open Web Application<br>
Security Project (OWASP).<br>
<br>
<a href="https://www.libssh.org/2015/04/30/libssh-0-6-5-security-and-bugfix-release/" target="_blank">https://www.libssh.org/2015/04/30/libssh-0-6-5-security-and-bugfix-release/</a><br>
<br>
--<br>
Andreas Schneider                   GPG-ID: CC014E3D<br>
<a href="http://www.cryptomilk.org" target="_blank">www.cryptomilk.org</a>                <a href="mailto:asn@cryptomilk.org">asn@cryptomilk.org</a><br>
<br>
<br>
</div>