Bulletin d'alerte Debian

DSA-3550-1 openssh -- Mise à jour de sécurité

Date du rapport :
15 avril 2016
Paquets concernés :
openssh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8325.
Plus de précisions :

Shayan Sadigh a découvert une vulnérabilité dans OpenSSH : si la prise en charge de PAM est activée, la configuration de sshd de PAM réglée pour lire les variables d'environnement spécifiées par l'utilisateur et l'option UseLogin activée, un utilisateur local peut augmenter ses droits jusqu'à ceux de superutilisateur.

Dans Debian, UseLogin n'est pas activée par défaut.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 6.0p1-4+deb7u4.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 6.7p1-5+deb8u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:7.2p2-3.

Nous vous recommandons de mettre à jour vos paquets openssh.