Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3488-1 libssh

Bulletin d'alerte Debian

DSA-3488-1 libssh -- Mise à jour de sécurité

Date du rapport :

23 février 2016

Paquets concernés :

libssh

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 815663.
Dans le dictionnaire CVE du Mitre : CVE-2016-0739.

Plus de précisions :

Aris Adamantiadis a découvert que libssh, une petite bibliothèque SSH en C, générait incorrectement un court secret éphémère pour les méthodes d'échange de clés diffie-hellman-group1 et diffie-hellman-group14. Le secret résultant est long de 128 bits au lieu des tailles recommandées de respectivement 1024 et 2048 bits. Ce défaut pourrait permettre à un indiscret ayant assez de ressources de déchiffrer ou intercepter les sessions SSH.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 0.5.4-1+deb7u3. Cette mise à jour fournit également des correctifs pour CVE-2014-8132 et CVE-2015-3146, qui étaient à l'origine prévues pour la prochaine mise à jour mineure de Wheezy.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.6.3-4+deb8u2.

Nous vous recommandons de mettre à jour vos paquets libssh.