Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

  • la version de OpenSSH mise en œuvre dans Debian Etch ;
  • la version de OpenSSH mise en œuvre dans les versions 7.04, 7.10 et 8.04 de Ubuntu.

La version présente dans l'ancienne version stable de Debian : sarge n'est pas vulnérable.

Résumé

Une vulnérabilité dans la version de OpenSSH propre aux distributions Debian, Ubuntu ou à leurs dérivés permet à un utilisateur distant de contourner la politique de sécurité ou de porter atteinte à la confidentialité du système vulnérable.

Description

Par effet de bord, la vulnérabilité décrite dans l'avis CERTA-2008-AVI-239 sur OpenSSL, s'applique également au paquetage OpenSSH des distributions Debian et Ubuntu. Tous les bi-clefs ssh engendrés par la commande ssh-keygen fournie par les versions vulnérables de OpenSSH sont donc considérés comme non-fiables et doivent être renouvelés.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation