Bulletin d'alerte Debian
DLA-426-1 libssh2 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 23 février 2016
- Paquets concernés :
- libssh2
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2016-0787.
- Plus de précisions :
-
Aris Adamantiadis de l’équipe libssh a découvert que libssh, une implémentation du protocole SSH2 utilisée par de nombreuses applications, ne générait pas des secrets Diffie-Hellman suffisamment longs.
Cette vulnérabilité pourrait être exploitée par un indiscret pour déchiffrer ou intercepter des sessions SSH.
Pour la distribution oldoldstable (Squeeze), cela a été corrigé dans la version 1.2.6-1+deb6u2. Bien que le journal des modifications mentionne
sha256
, cette version prend en charge uniquement l’échange de clefs DH SHA-1, et c’est cette méthode d’échange qui a été corrigée.Pour des distributions oldstable (Wheezy) et stable (Jessie), cela sera corrigé prochainement.