Bulletin d'alerte Debian

DLA-3437-1 libssh -- Mise à jour de sécurité pour LTS

Date du rapport :

29 mai 2023

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 946548, Bogue 1035832.
Dans le dictionnaire CVE du Mitre : CVE-2019-14889, CVE-2023-1667.

Plus de précisions :

Deux problèmes de sécurité ont été découverts dans libssh, une petite bibliothèque C SSH, qui pouvaient permettre à un utilisateur distant authentifié de provoquer un déni de service ou d’injecter des commandes arbitraires.

CVE-2019-14889
Un défaut a été découvert dans la fonction ssh_scp_new() de l’IPA libssh dans les versions avant 0.9.3 et avant 0.8.8. Quand le client SCP libssh se connectait au serveur, la commande scp, qui incluait un chemin fourni par l’utilisateur, était exécutée du côté serveur. Dans le cas où la bibliothèque était utilisée d’une façon permettant aux utilisateurs d’agir sur le troisième paramètre de la fonction, il devenait possible pour un attaquant d’injecter des commandes arbitraires, conduisant à une compromission de la cible distante.
CVE-2023-1667
Un déréférencement de pointeur NULL a été découvert dans libssh durant le rechargement de clé en devinant l’algorithme. Ce problème pouvait permettre à un client authentifié de provoquer un déni de service.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 0.8.7-1+deb10u2.

Nous vous recommandons de mettre à jour vos paquets libssh.

Pour disposer d'un état détaillé sur la sécurité de libssh, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libssh.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.