Origine: bjCSIRT

Numéro: 2022/ALERTE/037

Date de l’alerte: 06/10/2022

APERÇU :

De multiples vulnérabilités ont été découvertes dans OpenSSH. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur et un contournement de la politique de sécurité.

DESCRIPTION :

OpenSSH est une implémentation du protocole SSH 2.0 et inclut le support du client et du serveur sftp.

Les vulnérabilités sont présentes sur les modules : ssh-keyscan, ssh-keygen, ssh-keysign.

En effet, les failles ne sont pas exploitables mais par mesure de sécurité, des problèmes de mémoire sont considérés, par prudence, comme des vulnérabilités de sécurité potentielles.

De nouvelles fonctionnalités ont été ajoutées au niveau des modules pour le correctif.

IMPACT :

• Contournement de la politique de sécurité;
• Non spécifié par l’éditeur

SYSTEMES AFFECTÉS

• Les versions de OpenSSH antérieures à 9.1 .

MESURES À PRENDRE :

Il est fortement recommandé d’appliquer les mises à jour publiées ; disponible sur https://www.openssh.com/txt/release-9.1.

REFERENCES :

• https://www.cicert.ci/index.php/publications/notices-de-securite/avis-de-securite/1658-multiples-vulnerabilites-dans-openssh-3
• https://www.openssh.com/txt/release-9.1
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-882