S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 mai 2008
N° CERTA-2008-AVI-246
Affaire suivie par: CERT-FR
le 15 mai 2008

Avis du CERT-FR

Objet: Vulnérabilité dans OpenSSH pour Debian et Ubuntu

Gestion du document

Référence CERTA-2008-AVI-246
Titre Vulnérabilité dans OpenSSH pour Debian et Ubuntu
Date de la première version 15 mai 2008
Date de la dernière version 15 mai 2008
Source(s) Bulletin de sécurité Debian DSA-1576 du 14 mai 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • la version de OpenSSH mise en œuvre dans Debian Etch ;
  • la version de OpenSSH mise en œuvre dans les versions 7.04, 7.10 et 8.04 de Ubuntu.

La version présente dans l'ancienne version stable de Debian : sarge n'est pas vulnérable.

Résumé

Une vulnérabilité dans la version de OpenSSH propre aux distributions Debian, Ubuntu ou à leurs dérivés permet à un utilisateur distant de contourner la politique de sécurité ou de porter atteinte à la confidentialité du système vulnérable.

Description

Par effet de bord, la vulnérabilité décrite dans l'avis CERTA-2008-AVI-239 sur OpenSSL, s'applique également au paquetage OpenSSH des distributions Debian et Ubuntu. Tous les bi-clefs ssh engendrés par la commande ssh-keygen fournie par les versions vulnérables de OpenSSH sont donc considérés comme non-fiables et doivent être renouvelés.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 mai 2008
    version initiale.