Bulletin d'alerte Debian

DLA-1730-3 libssh2 -- Mise à jour de sécurité pour LTS

Date du rapport :
25 juillet 2019
Paquets concernés :
libssh2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-3859, CVE-2019-13115.
Plus de précisions :

Divers problèmes de sécurité ont été en plus corrigés dans libssh2, une implémentation de client SSH écrite en C.

  • CVE-2019-3859

    Lors de l’investigation de l’impact de CVE-2019-13115 dans la version de libssh2 dans Jessie de Debian, il a été découvert que les problèmes autour de CVE-2019-3859 n’ont pas été complètement résolus. Une comparaison minutieuse (lecture, analyse et copie des modifications de code si nécessaire) du code de l’amont et de celui de la version de libssh2 de Jessie a été réalisée et des vérifications de limites et protections de dépassement d'entier ont été ajoutées au paquet.

  • CVE-2019-13115

    Kevin Backhouse de semmle.com a découvert que les correctifs initiaux pour la série de CVE, CVE-2019-3855 — 2019-3863, introduisaient plusieurs régressions à propos du signe des valeurs de longueur renvoyées dans le code de l’amont. Lors de l’étude de la mise à jour de CVE-2019-3859 mentionné ci-dessus, il a été fait attention de pas introduire ces régressions de l’amont enregistrées sous CVE-2019-13115.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.4.3-4.1+deb8u4.

Nous vous recommandons de mettre à jour vos paquets libssh2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.