Risque
- Contournement de la politique de sécurité
Systèmes affectés
Certains paquets de mises à jour OpenSSH distribués pour Red Hat Desktop et Red Hat Enterprise.
Description
Certains serveurs concernant la distribution de paquets pour Red Hat auraient été compromis. Il est possible que certaines mises à jour, en particulier concernant OpenSSH, ne soient pas correctes. Aucune information sur la date de compromission n'est à ce jour connue.
Red Hat publie avec une nouvelle signature les paquets OpenSSH qui corrigent la vulnérabilité CVE-2007-4752 décrite dans l'avis CERTA-2007-AVI-497.
Un script est également fourni afin de tester sur les systèmes les versions installées. Il indique, en s'appuyant sur une liste noire de signatures pas nécessairement exhaustive, si des versions frauduleuses sont présentes.
Solution
Se référer au bulletin de sécurité RHSA-2008-0855 de Red Hat pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité CERTA-2007-AVI-497 du 14 novembre 2007 : http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-497/
- Bulletin de sécurité RedHat RHSA-2008:0855 du 22 août 2008 : http://rhn.redhat.com/errata/RHSA-2008-0855.html
- Script de test fourni par Red Hat : http://www.redhat.com/security/data/openssh-blacklist.html
- Référence CVE CVE-2007-4752 https://www.cve.org/CVERecord?id=CVE-2007-4752
- Référence CVE CVE-2008-3844 https://www.cve.org/CVERecord?id=CVE-2008-3844
