LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1728-1 openssh

Bulletin d'alerte Debian

DLA-1728-1 openssh -- Mise à jour de sécurité pour LTS

Date du rapport :

25 mars 2019

Paquets concernés :

openssh

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 793412, Bogue 919101, Bogue 923486.
Dans le dictionnaire CVE du Mitre : CVE-2018-20685, CVE-2019-6109, CVE-2019-6111.

Plus de précisions :

Plusieurs vulnérabilités de client ont été découvertes dans OpenSSH, l’outil vedette de connectivité pour une connexion distante d’interpréteur sécurisé et transfert de fichiers sécurisé.

• CVE-2018-20685

  Dans scp.c, le client scp permettait aux serveurs SSH distants de contourner les restrictions d’accès voulues à l’aide du nom de fichier « . » ou vide. L’impact modifiait les permissions du répertoire cible du côté client.

• CVE-2019-6109

  Dû à un encodage de caractères manquant dans l’affichage de progression, un serveur malveillant (ou un attaquant de type « homme du milieu ») pouvait employer des noms d’objet contrefaits pour manipuler la sortie du client, par exemple, en utilisant des codes de contrôle ANSI pour cacher le transfert de fichiers supplémentaires. Cela affecte refresh_progress_meter() dans progressmeter.c.

• CVE-2019-6111

  Du fait que l’implémentation de scp est dérivée de rcp 1983, le serveur choisit quels fichiers ou répertoires sont envoyés au client. Cependant, le client scp ne réalise qu'une validation superficielle du nom d’objet renvoyé (seules les attaques par traversée de répertoires sont empêchées). Un serveur scp malveillant (ou un attaquant de type « homme du milieu ») pouvait écraser des fichiers arbitraires dans le répertoire cible du client scp. Si une opération récursive (-r) était réalisée, le serveur pouvait manipuler des sous-répertoires, ainsi que, par exemple, écraser le fichier .ssh/authorized_keys.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1:6.7p1-5+deb8u8.

Nous vous recommandons de mettre à jour vos paquets openssh.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.