Bulletin d'alerte Debian

DSA-3446-1 openssh -- Mise à jour de sécurité

Date du rapport :
14 janvier 2016
Paquets concernés :
openssh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 810984.
Dans le dictionnaire CVE du Mitre : CVE-2016-0777, CVE-2016-0778.
Plus de précisions :

L'équipe Qualys Security a découvert deux vulnérabilités dans le code d'itinérance du client OpenSSH, une implémentation du protocole SSH.

L'itinérance de SSH permet à un client, dans le cas d'une déconnexion imprévue, de se reconnecter plus tard, à condition que le serveur le permette aussi.

Le serveur OpenSSH ne prend pas en charge l'itinérance, à la différence du client OpenSSH (même si cela n'est pas documenté) et cela est activé par défaut.

  • CVE-2016-0777

    Une fuite d'informations (divulgation de mémoire) peut être exploitée par un serveur SSH véreux pour forcer un client à divulguer de données sensibles à partir de la mémoire du client, y compris, par exemple, des clés privées.

  • CVE-2016-0778

    Un dépassement de tampon (menant à une fuite de descripteur de fichier), peut aussi être exploité par un serveur SSH, mais à cause d'un autre bogue dans le code, cela peut éventuellement ne pas être exploitable, et seulement dans certaines conditions (pas dans la configuration par défaut), lors de l'utilisation de ProxyCommand, ForwardAgent ou ForwardX11.

Cette mise à jour de sécurité désactive complètement le code d'itinérance du client OpenSSH.

Il est aussi possible de désactiver l'itinérance en ajoutant l'option (non documentée) UseRoaming no au fichier global /etc/ssh/ssh_config, à la configuration de l'utilisateur ~/.ssh/config, ou en passant l'instruction -oUseRoaming=no en ligne de commande.

Les utilisateurs avec des clés privées sans phrase de passe, particulièrement dans des configurations non interactives (tâches automatiques utilisant ssh, scp, rsync+ssh etc.) devraient mettre à jour leurs clés s'ils se sont connectés à un serveur SSH non fiable.

Plus de détails sur la manière d'identifier une attaque et les moyens de la réduire sont disponibles dans l'annonce de Qualys Security.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1:6.0p1-4+deb7u3.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:6.7p1-5+deb8u1.

Pour la distribution testing (Stretch) et distribution unstable (Sid), ces problèmes seront corrigés dans une version ultérieure.

Nous vous recommandons de mettre à jour vos paquets openssh.