S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 février 2001
N° CERTA-2001-AVI-017
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de SSH

Gestion du document

Référence CERTA-2001-AVI-017
Titre Vulnérabilité de SSH
Date de la première version12 février 2001
Date de la dernière version12 février 2001
Source(s) Bugtraq
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Accès root à distance

Systèmes affectés

Tout système Unix possédant les versions SSH-1.2.24 à SSH-1.2.32 activées, ou OpenSSH antérieures à 2.3.0 et pour lesquelles la compatibilité SSH Version 1 est en fonction.

Résumé

Une vulnérabilité de SSH permet à un utilisateur mal intentionné d'accéder à un shell root à distance.

Description

Un utilisateur mal intentionné n'ayant pas de compte sur la machine cible peut, grâce à un débordement de mémoire de SSH, obtenir à distance l'accès à un shell ayant les privilèges root.

Solution

  • Mettre à niveau SSH

    ftp://ftp.ssh.com/pub/ssh/

  • Pour Debian il est possible de télécharger la mise à jour de SSH :

    http://security.Debian.org/dists/stable/updates/main/

Documentation

Gestion détaillée du document

    le 12 février 2001
    version initiale.