Bulletin d'alerte Debian

DLA-426-1 libssh2 -- Mise à jour de sécurité pour LTS

Date du rapport :
23 février 2016
Paquets concernés :
libssh2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-0787.
Plus de précisions :

Aris Adamantiadis de l’équipe libssh a découvert que libssh, une implémentation du protocole SSH2 utilisée par de nombreuses applications, ne générait pas des secrets Diffie-Hellman suffisamment longs.

Cette vulnérabilité pourrait être exploitée par un indiscret pour déchiffrer ou intercepter des sessions SSH.

Pour la distribution oldoldstable (Squeeze), cela a été corrigé dans la version 1.2.6-1+deb6u2. Bien que le journal des modifications mentionne sha256, cette version prend en charge uniquement l’échange de clefs DH SHA-1, et c’est cette méthode d’échange qui a été corrigée.

Pour des distributions oldstable (Wheezy) et stable (Jessie), cela sera corrigé prochainement.