Risque

Atteinte à la confidentialité des données.

Systèmes affectés

OpenSSH, versions antérieures à 5.8p2.

Résumé

Une vulnérabilité pouvant conduire à la divulgation de clés privées a été découverte dans OpenSSH.

Description

Une vulnérabilité a été découverte dans OpenSSH. Elle peut conduire à la divulgation des clés privées de l'hôte.

Cette vulnérabilité est localisée dans ssh-rand-helper. Cet outil, seulement utilisé lorsque le système hôte ne dispose pas de source d'entropie interne, hérite d'un descripteur de fichier ouvert en lecture sur le fichier contenant les clés privées. Cet outil s'exécutant dans le contexte d'un utilisateur non priviligié, il est possible de s'y attacher pour ensuite lire les clés privées contenues dans le fichier pointé par le descripteur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation