Bulletin d'alerte Debian

DLA-288-2 openssh -- Mise à jour de sécurité pour LTS

Date du rapport :
30 septembre 2015
Paquets concernés :
openssh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5600.
Plus de précisions :

Dans Debian LTS (Squeeze), Le correctif pour CVE-2015-5600 dans openssh version 1:5.5p1-6+squeeze7 casse les mécanismes d'authentification qui s'appuient sur la méthode de clavier interactif. Merci à Colin Watson de nous avoir fait prendre conscience de ce problème.

Le correctif de CVE-2015-5600 introduit le champ devices_done dans la structure KbdintAuthctxt, mais n'initialise pas ce champ de la fonction kbdint_alloc(). Dans Linux, cela finit par remplir ce champ avec de mauvaises données. Il en résulte des erreurs de connexion aléatoires lors de l'utilisation de l'authentification avec le clavier interactif.

Ce dépôt d'openssh 1:5.5p1-6+squeeze7 dans Debian LTS (Squeeze) ajoute l'initialisation du champ devices_done au code d'initialisation existant.

Nous recommandons aux personnes qui dépendent des mécanismes d'authentification basés sur le clavier interactif avec OpenSSH, dans les systèmes Debian Squeeze(-lts), de mettre à niveau OpenSSH vers la version 1:5.5p1-6+squeeze7.