Bulletin d'alerte Debian

DSA-4387-1 openssh -- Mise à jour de sécurité

Date du rapport :
9 février 2019
Paquets concernés :
openssh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 793412, Bogue 919101.
Dans le dictionnaire CVE du Mitre : CVE-2018-20685, CVE-2019-6109, CVE-2019-6111.
Plus de précisions :

Harry Sintonen de F-Secure Corporation a découvert plusieurs vulnérabilités dans OpenSSH, une implémentation du protocole SSH. Toutes les vulnérabilités ont été découvertes dans le client scp implémentant le protocole SCP.

  • CVE-2018-20685

    Du fait d'une mauvaise validation du nom de répertoire, le client scp permet aux serveurs de modifier les droits du répertoire cible en utilisant un nom vide ou constitué d'un point (« dot directory »).

  • CVE-2019-6109

    Du fait de l'absence d'encodage des caractères dans l'affichage de la progression, le nom d'objet peut être utilisé pour manipuler la sortie du client, par exemple pour employer des codes ANSI afin de cacher le transfert de fichiers supplémentaires.

  • CVE-2019-6111

    Du fait d'une validation insuffisante des entrées du client scp des noms de chemin envoyés par le serveur, un serveur malveillant peut effectuer l'écrasement arbitraire de fichiers dans le répertoire cible. Si l'option de récursivité (-r) est fournie, le serveur peut aussi manipuler des sous-répertoires.

    La vérification ajoutée à cette version peut conduire à une régression si le client et le serveur ont des règles d'expansion des caractères génériques différentes. Si la confiance dans le serveur, pour cette option, est garantie la vérification peut être désactivée en passant la nouvelle option -T au client scp.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1:7.4p1-10+deb9u5.

Nous vous recommandons de mettre à jour vos paquets openssh.

Pour disposer d'un état détaillé sur la sécurité de openssh, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openssh