S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 22 août 2008
N° CERTA-2008-AVI-428-001
Affaire suivie par: CERT-FR
le 22 août 2008

Avis du CERT-FR

Objet: Vulnérabilités dans des mises à jour d’OpenSSH sous Red Hat

Gestion du document

Référence CERTA-2008-AVI-428-001
Titre Vulnérabilités dans des mises à jour d’OpenSSH sous Red Hat
Date de la première version 22 août 2008
Date de la dernière version 29 août 2008
Source(s) Annonce de sécurité Red Hat RHSA-2008:0855-6 du 22 août 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Certains paquets de mises à jour OpenSSH distribués pour Red Hat Desktop et Red Hat Enterprise.

Description

Certains serveurs concernant la distribution de paquets pour Red Hat auraient été compromis. Il est possible que certaines mises à jour, en particulier concernant OpenSSH, ne soient pas correctes. Aucune information sur la date de compromission n'est à ce jour connue.

Red Hat publie avec une nouvelle signature les paquets OpenSSH qui corrigent la vulnérabilité CVE-2007-4752 décrite dans l'avis CERTA-2007-AVI-497.

Un script est également fourni afin de tester sur les systèmes les versions installées. Il indique, en s'appuyant sur une liste noire de signatures pas nécessairement exhaustive, si des versions frauduleuses sont présentes.

Solution

Se référer au bulletin de sécurité RHSA-2008-0855 de Red Hat pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 22 août 2008
    version initiale.
    le 29 août 2008
    ajout du CVE spécifique pour l'incident.