Bulletin d'alerte Debian

DSA-2894-1 openssh -- Mise à jour de sécurité

Date du rapport :
5 avril 2014
Paquets concernés :
openssh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 742513.
Dans le dictionnaire CVE du Mitre : CVE-2014-2532, CVE-2014-2653.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans OpenSSH, une implémentation du protocole SSH. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-2532

    Jann Horn a découvert que OpenSSH traitait incorrectement les caractères de remplacement dans les lignes AcceptEnv. Un attaquant distant pourrait utiliser ce problème pour tromper OpenSSH et le mener à accepter toute variable d'environnement qui contient les caractères avant le caractère de remplacement.

  • CVE-2014-2653

    Matthew Vernon a signalé que si un serveur SSH propose un HostCertificate que le client ssh n'accepte pas, alors le client ne vérifie pas les DNS pour les enregistrements SSHFP. Comme conséquence, un serveur malveillant peut désactiver la vérification de SSHFP en présentant un certificat.

    Notez qu'une invite de vérification d'hôte est, malgré cela, affichée avant la connexion.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1:5.5p1-6+squeeze5.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:6.0p1-4+deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:6.6p1-1.

Nous vous recommandons de mettre à jour vos paquets openssh.