Tous les syst\u00e8mes utilisant :
D'autres versions de SSH sont peut-\u00eatre vuln\u00e9rables.
","closed_at":"2001-11-19","content":"## Description\n\nSSH est un service permettant un acc\u00e8s distant via un tunnel chiffr\u00e9. Ce\nservice peut \u00eatre utilis\u00e9 pour administrer, \u00e0 moindre risque, des\nmachines \u00e0 distance.\n\nLa faille de s\u00e9curit\u00e9 de SSH d\u00e9crite dans l'avis CERTA-2001-AVI-017 est\nactuellement massivement exploit\u00e9e, compromettant ainsi de nombreux\nsyst\u00e8mes.\n\nCertaines versions de SSH, apparemment non vuln\u00e9rables, deviennent\nvuln\u00e9rables lorsque la fonctionnalit\u00e9 fallback est activ\u00e9e. En effet,\ncette fonctionnalit\u00e9, mise en oeuvre sur une version non vuln\u00e9rable,\nfait appel \u00e0 une version de SSH1 vuln\u00e9rable.\n\nLes attaques par SSH laissent des traces assez significatives dans les\nfichiers journaux (par exemple /var/log/secure). Voici un exemple de ces\ntraces :\n\nNov 19 11:00:00 victime sshd\\[pid\\]: log: Connection from attaquant port\nnumero_de_port\n\nNov 19 11:00:04 victime sshd\\[pid+1\\]: log: Connection from attaquant\nport numero_de_port+1\n\nNov 19 11:00:07 victime sshd\\[pid+2\\]: log: Connection from attaquant\nport numero_de_port+2\n\nNov 19 11:00:11 victime sshd\\[pid+3\\]: log: Connection from attaquant\nport numero_de_port+3\n\nNov 19 11:00:16 victime sshd\\[pid+4\\]: log: Connection from attaquant\nport numero_de_port+4\n\nNov 19 11:00:16 victime sshd\\[pid+4\\]: fatal: Local: crc32 compensation\nattack: network attack detected\n\nvictime : Nom de la machine victime\n\npid : Num\u00e9ro de processus de sshd, incr\u00e9ment\u00e9 \u00e0 chaque nouvelle\nconnexion\n\nattaquant : Nom de machine ou adresse IP attaquante\n\nnumero_de_port : Num\u00e9ro de port source, incr\u00e9ment\u00e9 pendant l'attaque\n\n## Contournement provisoire\n\n- Mettre \u00e0 jour la version de SSH,\n- ne pas utiliser la fonctionnalit\u00e9 fallback,\n- mettre des r\u00e8gles de filtrage au niveau du garde-barri\u00e8re pour\n bloquer le port 22/tcp (ou le port sur lequel SSH est en \u00e9coute)\n pour les machines non-autoris\u00e9es,\n- si le service SSH est lanc\u00e9 par tcp-wrapper (tcpd) dans inetd,\n configurer les fichiers /etc/hosts.allow et /etc/hosts.deny pour\n sp\u00e9cifier les machines autoris\u00e9es \u00e0 utiliser ce service,\n- si le service SSH est lanc\u00e9 par xinetd, modifier le fichier\n /etc/xinetd.conf pour sp\u00e9cifier les machines autoris\u00e9es \u00e0 utiliser\n ce service.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 CERTA-2001-AVI-017 du 12 f\u00e9vrier\n2001.\n\n## Contournement provisoire\n\nAnalyse de Dave Dittrich :\n\n http://staff.washington.edu/dittrich/misc/ssh-analysis.txt\n","cves":[],"links":[],"reference":"CERTA-2001-ALE-015","revisions":[{"description":"version initiale.","revision_date":"2001-11-19T00:00:00.000000"}],"risks":[{"description":"Compromission du syst\u00e8me"}],"summary":"La faille d\u00e9crite dans l'avis CERTA-2001-AVI-017 est exploit\u00e9e pour\ncompromettre les syst\u00e8mes.\n","title":"Exploitation massive d'une ancienne vuln\u00e9rabilit\u00e9 de SSH","vendor_advisories":[]}