Bulletin d'alerte Debian

DSA-086-1 ssh-nonfree -- Connexion distante en root abusive

Date du rapport :

13 novembre 2001

Paquets concernés :

ssh-nonfree, ssh-socks

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2001-0361.

Plus de précisions :

Nous avons reçu l'alerte disant que la « faille du CRC-32, qui permet de faire exécuter à SSH des commandes arbitraires (compensator attack) » était largement exploitée. Il s'agit d'une erreur sur les entiers, du même type que celle préalablement corrigée pour OpenSSH dans le DSA-027-1. OpenSSH (le paquet Debian ssh) a été corrigé à ce moment là, mais ssh-nonfree et ssh-socks ne l'avaient pas été.

Bien que les paquets de la partie non-free des archives ne soient pas officiellement supportés par le projet Debian, nous avons pris exceptionnellement la décision de publier une mise à jour des paquets ssh-nonfree/ssh-socks pour les utilisateurs n'ayant pas encore migré vers OpenSSH. Toutefois, nous recommandons à nos utilisateurs de migrer vers le paquet, en accord avec les principes du logiciel libre selon Debian (DFSG) « ssh »régulièrement supporté, aussitôt que possible. ssh 1.2.3-9.3 est le paquet OpenSSH disponible dans Debian 2.2r4.

Les paquets corrigés de ssh-nonfree/ssh-socks sont disponibles dans la version 1.2.27-6.2 pour Debian 2.2 (potato) et dans la version 1.2.27-8 pour les distributions Debian unstable et testing. Notez que le nouveau paquet ssh-nonfree/ssh-socks enlève le bit setuid du binaire ssh, enlevant du fait l'authentification rhost-rsa. Si vous avez besoin de cette fonctionnalité, exécutez

chmod u+s /usr/bin/ssh1

après avoir installé le nouveau paquet.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.diff.gz; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27-6.2.dsc; http://security.debian.org/dists/potato/updates/non-free/source/ssh-nonfree_1.2.27.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-askpass-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-nonfree_1.2.27-6.2_alpha.deb; http://security.debian.org/dists/potato/updates/non-free/binary-alpha/ssh-socks_1.2.27-6.2_alpha.deb
ARM: Not yet available
Intel ia32:: http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-askpass-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-nonfree_1.2.27-6.2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/ssh-socks_1.2.27-6.2_i386.deb
Motorola M680x0:: http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-askpass-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-nonfree_1.2.27-6.2_m68k.deb; http://security.debian.org/dists/potato/updates/non-free/binary-m68k/ssh-socks_1.2.27-6.2_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-askpass-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-nonfree_1.2.27-6.2_powerpc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-powerpc/ssh-socks_1.2.27-6.2_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-askpass-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-nonfree_1.2.27-6.2_sparc.deb; http://security.debian.org/dists/potato/updates/non-free/binary-sparc/ssh-socks_1.2.27-6.2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.