Mise à jour de sécurité pour OpenSSH

Récemment, deux failles de sécurité ont été découvertes dans le logiciel OpenSSH qui permet l'établissement de connexion SSH client-serveur sous Linux :


CVE-2014-2532

Jann Horn a découvert qu'OpenSSH ne gérait pas correctement les caractères génériques dans le paramétrage "AcceptEnv". Un attaquant distant pourrait utiliser cette question pour tromper OpenSSH et lui faire accepter n'importe quelle variable d'environnement qui contient le caractères avant le caractère générique.

CVE-2014-2653

Matthew Vernon a indiqué que si un serveur SSH offre un "HostCertificate que le client ssh n'accepte pas, alors le client ne vérifie pas le DNS pour les enregistrements SSHFP. En conséquence, un serveur malveillant peut désactiver le contrôle SSHFP en présentant un certificat.

Logo OpenSSH

Afin de protéger votre serveur, il est recommandé d'effectuer la mise à jour de sécurité qui corrige ces deux failles de sécurité.

  • Pour l'ancienne distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1:5,5 p1-6 + squeeze5.
  • Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:6.0 p1-4 + deb7u1.
  • Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:6.6 p1-1.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Fondateur d'IT-Connect.fr et d'Information-security.fr. Auditeur sécurité chez Amossys.

    mickael has 478 posts and counting.See all posts by mickael

    Une pensée sur “Mise à jour de sécurité pour OpenSSH

    • Hello Mickael,

      merci pour cet article !

      Comment effectuer la mise à jour de sécurité pour corriger CVE-2014-2653 sur Ubuntu ? Via Plesk ? Avec une ligne de commande SSH ?

      Un peu amateur .. D’avance merci

      Répondre

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

     

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.