Faille de sécurité libssh

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Gérard
Messages : 49
Enregistré le : 03 oct. 2016 11:00
Etablissement : LNA-Santé
Fonction : RSSI
CIL / DPO / DPD : Non

Faille de sécurité libssh

Message par Gérard » 17 oct. 2018 20:37

Cette faille peut piquer !!!

Les versions 0.6 et supérieures de libssh ont une vulnérabilité de contournement de l’authentification. En présentant au serveur un message SSH2_MSG_USERAUTH_SUCCESS à la place du message SSH2_MSG_USERAUTH_REQUEST auquel le serveur s'attendrait pour lancer l'authentification, l'attaquant pourrait s'authentifier avec succès sans aucune information d'identification.

Par défaut sur les distributions Linux le serveur SSH en standard est OpenSSH qui n'utilise pas Libssh, mais une petite vérification s'impose car libssh est tout de même très utilisé.

https://www.libssh.org/security/advisor ... -10933.txt
https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-499/

Avatar du membre
charles
Administrateur du site
Messages : 3469
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Faille de sécurité libssh

Message par charles » 18 oct. 2018 12:04

Merci pour ce partage Gérard ;)

Effectivement elle peut piquer !

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.


Pour info des patchs ont déjà été publiés, comme sur Debian ou Ubuntu par exemple :

https://www.debian.org/security/2018/dsa-4322
https://usn.ubuntu.com/3795-1/

Voir aussi : https://www.libssh.org/2018/10/16/libss ... x-release/

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »