LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-2959-1 paramiko

Bulletin d'alerte Debian

DLA-2959-1 paramiko -- Mise à jour de sécurité pour LTS

Date du rapport :

21 mars 2022

Paquets concernés :

paramiko

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-24302.

Plus de précisions :

Il y avait une situation de compétition potentielle dans Paramiko, une implémentation de l'algorithme de SSH en Python pur. En particulier, une divulgation non autorisée d'informations aurait pu se produire lors de la création des clés privés SSH.

• CVE-2022-24302: Dans les versions de Paramiko antérieures à 2.10.1, une situation de compétition (entre la création et la commande chmod) dans la fonction write_private_key_file pouvait permettre la divulgation non autorisée d'informations.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.0.0-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets paramiko.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.