Bulletin d'alerte Debian

DLA-1548-1 libssh -- Mise à jour de sécurité pour LTS

Date du rapport :
18 octobre 2018
Paquets concernés :
libssh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 911149.
Dans le dictionnaire CVE du Mitre : CVE-2018-10933.
Plus de précisions :

Peter Winter-Smith de NCC Group a découvert que libssh, une minuscule bibliothèque C pour SSH, contient une vulnérabilité de contournement d’authentification dans le code de serveur. Un attaquant peut exploiter ce défaut pour une authentification sans aucune référence en présentant au serveur un message SSH2_MSG_USERAUTH_SUCCESS à la place d’un message SSH2_MSG_USERAUTH_REQUEST que le serveur attend pour commencer l’authentification.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 0.6.3-4+deb8u3.

Nous vous recommandons de mettre à jour vos paquets libssh.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.