LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-426-1 libssh2

Bulletin d'alerte Debian

DLA-426-1 libssh2 -- Mise à jour de sécurité pour LTS

Date du rapport :

23 février 2016

Paquets concernés :

libssh2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-0787.

Plus de précisions :

Aris Adamantiadis de l’équipe libssh a découvert que libssh, une implémentation du protocole SSH2 utilisée par de nombreuses applications, ne générait pas des secrets Diffie-Hellman suffisamment longs.

Cette vulnérabilité pourrait être exploitée par un indiscret pour déchiffrer ou intercepter des sessions SSH.

Pour la distribution oldoldstable (Squeeze), cela a été corrigé dans la version 1.2.6-1+deb6u2. Bien que le journal des modifications mentionne sha256, cette version prend en charge uniquement l’échange de clefs DH SHA-1, et c’est cette méthode d’échange qui a été corrigée.

Pour des distributions oldstable (Wheezy) et stable (Jessie), cela sera corrigé prochainement.