Avis du CERT-FR

Objet: Vulnérabilité de SSH

Gestion du document

Référence	CERTA-2001-AVI-017
Titre	Vulnérabilité de SSH
Date de la première version	12 février 2001
Date de la dernière version	12 février 2001
Source(s)	Bugtraq
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Accès Root à distance.

Systèmes affectés

Tout système Unix possédant les versions SSH-1.2.24 à SSH-1.2.32 activées, ou OpenSSH antérieures à 2.3.0 et pour lesquelles la compatibilité SSH Version 1 est en fonction.

Résumé

Une vulnérabilité de SSH permet à un utilisateur mal intentionné d'accéder à un shell root à distance.

Description

Un utilisateur mal intentionné n'ayant pas de compte sur la machine cible peut, grâce à un débordement de mémoire de SSH, obtenir à distance l'accès à un shell ayant les privilèges root.

Solution

Mettre à niveau SSH
```
ftp://ftp.ssh.com/pub/ssh/
```
Pour Debian il est possible de télécharger la mise à jour de SSH :
```
http://security.Debian.org/dists/stable/updates/main/
```

Documentation

Avis de Sécurité Debian :

http://www.debian.org/security/2001/dsa-027

Gestion détaillée du document

le 12 février 2001: version initiale.