Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 novembre 2007

N° CERTA-2007-AVI-497

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans OpenSSH

Gestion du document

Référence	CERTA-2007-AVI-497
Titre	Vulnérabilité dans OpenSSH
Date de la première version	14 novembre 2007
Date de la dernière version	14 novembre 2007
Source(s)	Mise à jour 4.7 de OpenSSH du 04 septembre 2007
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Élévation de privilèges

Systèmes affectés

OpenSSH versions antérieures à 4.7.

Description

Une vulnérabilité de OpenSSH due à une erreur dans l'utilisation des cookies X11 permet à une personne malintentionnée distante d'élever ses privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Fedora du 15 octobre 2007 :

https://www.redhat.com/archives/fedora-package-announce/2007-October/msg00214.html

Bulletin de sécurité Gentoo GLSA 200711-02 du 01 novembre 2007 :

http://www.gentoo.org/security/en/glsa/glsa-200711-02.xml

Bulletin de sécurité SUSE-SE:2007:022 du 26 octobre 2007 :

http://www.novell.com/linux/security/advisories/2007_22_sr.html

Liste des changements de OpenSSH 4.7 :

http://www.openssh.com/txt/release-4.7

Mise à jour de HP-UX Secure Shell :

http://h20293.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=T1471AA

Référence CVE CVE-2007-4752

https://www.cve.org/CVERecord?id=CVE-2007-4752

Gestion détaillée du document

le 14 novembre 2007: version initiale.