Avis du CERT-FR

Objet: Vulnérabilité de SSH.com SFTP

Gestion du document

Référence	CERTA-2006-AVI-105
Titre	Vulnérabilité de SSH.com SFTP
Date de la première version	13 mars 2006
Date de la dernière version	13 mars 2006
Source(s)	Bulletin de mise à jour FreeBSD
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance ;
contournement de la politique de sécurité.

Systèmes affectés

ssh2 versions strictement inférieures à la version 3.2.9.1_5
ssh2-nox11 versions strictement inférieures à la version 3.2.9.1_5

Description

Une vulnérabilité a été découverte dans le serveur SFTP. Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné ayant les droits d'accès SSH/SFTP à la machine afin d'exécuter des commandes arbitraires à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité du port FreeBSD de pkg-ssh2 du 04 mars 2006 :
```
http://www.vuxml.org/freebsd/pkg-ssh2.html
```
Bulletin de sécurité du port FreeBSD de pkg-ssh2-nox11 du 04 mars 2006 :
```
http://www.vuxml.org/freebsd/pkg-ssh2-nox11.html
```

Référence CVE CVE-2006-0705 :

https://www.cve.org/CVERecord?id=CVE-2006-0705

Gestion détaillée du document

le 13 mars 2006: version initiale.