Bulletin d'alerte Debian

DLA-1500-2 openssh -- Mise à jour de sécurité pour LTS

Date du rapport :
12 septembre 2018
Paquets concernés :
openssh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 908652.
Plus de précisions :

La mise à jour de sécurité pour OpenSSH publiée dans la DLA 1500-1 introduisait un bogue dans openssh-client : lorsque le réacheminement d’X11 est activé (à l’aide d’une configuration pour tout le système dans ssh_config ou à l’aide d’une option -X de ligne de commande), mais qu’aucun DISPLAY n’est défini, le client produit un avertissement « DISPLAY (null) invalid; disabling X11 forwarding ». Ce bogue a été introduit par l’ensemble de correctifs pour le problème CVE-2016-1908. À titre indicatif, ce qui suit est la partie concernée de la publication originale.

  • CVE-2016-1908

    OpenSSH gérait incorrectement les redirections X11 non authentifiées lorsqu’un serveur X désactivait l’extension SECURITY. Des connexions non authentifiées pourraient obtenir les droits de redirection X11 authentifiée. Signalé par Thomas Hoger.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1:6.7p1-5+deb8u7.

Nous vous recommandons de mettre à jour vos paquets openssh.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.