Stefan Pfetzing a découvert que lshd, un serveur alternatif pour le protocole SSH2, dévoilait un certain nombre de descripteurs de fichiers — liés au générateur de nombres aléatoires — aux invites de commandes lancées par lshd. Un attaquant local pouvait modifier le fichier de graine (« seed ») du serveur, ce qui pouvait empêcher le serveur de démarrer, voire avec plus d'efforts permettre de casser les clés de session.
Après avoir appliqué cette mise à jour, vous devriez supprimer le fichier de
graine (/var/spool/lsh/yarrow-seed-file) puis le regénérer en exécutant
lsh-make-seed --server en tant que superutilisateur.
Pour des raisons de sécurité, lsh-make-seed doit être lancé depuis une
console locale du système concerné. Si vous lancez lsh-make-seed depuis une
invite de commande distante, l'information temporelle utilisée par
lsh-make-seed pour la graine aléatoire peut être truquée. Si nécessaire, vous
pouvez générer la graine aléatoire sur un autre système que le système
concerné, en installant le paquet lsh-utils et en exécutant lsh-make-seed
-o my-other-server-seed-file. Vous pouvez ensuite transférer la graine
au système destinatire en utilisant une connexion sécurisée.
L'ancienne distribution stable (Woody) ne semble pas touchée par ce problème.
Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 2.0.1-3sarge1.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.0.1cdbs-4.
Nous vous recommandons de mettre à jour votre paquet lsh-server.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.