Bulletin d'alerte Debian

DLA-1730-4 libssh2 -- Mise à jour de sécurité pour LTS

Date du rapport :
30 juillet 2019
Paquets concernés :
libssh2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-3860.
Plus de précisions :

Plusieurs vérifications de limites ont été rétroportées dans src/sftp.c de libssh2. De plus, toutes les vérifications de limites dans src/sftp.c conduisent désormais à un code d’erreur LIBSSH2_ERROR_BUFFER_TOO_SMALL, plutôt qu’un code d’erreur LIBSSH2_ERROR_ OUT_OF_BOUNDARY.

En remarque complémentaire, il a été découvert que l’implémentation de SFTP de libssh2 de Debian Jessie fonctionne bien seulement avec les serveurs SFTP OpenSSH de Debian Wheezy, que les tests sur les nouvelles versions d’OpenSSH (telles que disponibles dans Debian Jessie et au-delà) échouent temporairement avec une erreur de protocole SFTP Error opening remote file. Les opérations peuvent continuer après cette erreur, cela dépend de l’implémentation de l’application.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.4.3-4.1+deb8u5.

Nous vous recommandons de mettre à jour vos paquets libssh2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.