Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Nouvelle faiblesse pour OpenSSH

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Nouvelle faiblesse pour OpenSSH

Les utilisateurs d’un serveur peuvent exploiter OpenSSH pour obtenir les droits de l’administrateur. Pire, un serveur SSH malicieux peut utiliser la même faille pour compromettre les clients qui se connecteraient à lui.


L’implémentation libre du protocole SSH (Secure SHell) est de nouveau affligée d’une faille de sécurité. Il s’agit de la seconde série en quelques mois, toutes heureusement rapidement réparées, logiciel libre oblige.La vulnérabilité concerne ici toutes les versions d’OpenSSH 2.0 à 3.0.2, et est exploitable essentiellement par les utilisateurs qui disposent déjà d’un compte sur le serveur. Cela touche donc particulièrement les hébergeurs qui offrent à leurs clients un accès en ligne de commande au serveur (tous les hébergeurs sérieux, donc…).Il s’agit d’une erreur de type « +Off By One+ » (décalage involontaire), une erreur classique de programmation qui permet ici de profiter de privilèges accrus. L’alerte ne donne cependant pas le détail de la méthode.En outre, puisque un serveur SSH établit un tunnel direct avec les clients qui s’y connectent, il peut lui aussi exploiter la vulnérabilité sur le poste distant. Pour un pirate qui aurait pris le contrôle de son hébergeur, cela serait la moyen idéal de compromettre l’ensemble des clients du fournisseur.La faille est bien sûr jugée critique, et en attendant version 3.1 d’OpenSSH, dont la disponibilité est imminente, un correctif est disponible.Plus d’informations : l’alerte de pine-cert.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.