Vulnérabilités SCP

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3870
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Vulnérabilités SCP

Message par charles » 21 janv. 2019 08:39

Le chercheur Harry Sintonen (F-Secure) a publié la semaine dernière une alerte relative à des vulnérabilités scp présentes dans plusieurs outils ssh / scp.

De nombreux clients scp ne vérifient pas l'intégrité des fichiers renvoyés par le serveur.
Pour résumer un serveur malveillant pourrait donc permettre l'exécution de code arbitraire sur le client.

Dans son alerte, il fait un état des lieux pour les clients ssh / scp les plus utilisés, ce qui ne veut pas dire que les autres clients ne sont pas vulnérables...

Un correctif pour OpenSSH a été publié au mois de novembre, il a été intégré à la version 7.9, mais n'est pas encore intégré dans la majorité des distributions Linux.

Un correctif pour le client WinSCP est disponible à partir de la version 5.14 publiée en octobre.

Pour le moment, pas de correctif annoncé côté PuTTY.

https://sintonen.fi/advisories/scp-clie ... lities.txt

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »