Mise à jour de sécurité pour OpenSSH
Récemment, deux failles de sécurité ont été découvertes dans le logiciel OpenSSH qui permet l'établissement de connexion SSH client-serveur sous Linux :
CVE-2014-2532
Jann Horn a découvert qu'OpenSSH ne gérait pas correctement les caractères génériques dans le paramétrage "AcceptEnv". Un attaquant distant pourrait utiliser cette question pour tromper OpenSSH et lui faire accepter n'importe quelle variable d'environnement qui contient le caractères avant le caractère générique.
CVE-2014-2653
Matthew Vernon a indiqué que si un serveur SSH offre un "HostCertificate que le client ssh n'accepte pas, alors le client ne vérifie pas le DNS pour les enregistrements SSHFP. En conséquence, un serveur malveillant peut désactiver le contrôle SSHFP en présentant un certificat.
Afin de protéger votre serveur, il est recommandé d'effectuer la mise à jour de sécurité qui corrige ces deux failles de sécurité.
- Pour l'ancienne distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1:5,5 p1-6 + squeeze5.
- Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:6.0 p1-4 + deb7u1.
- Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:6.6 p1-1.
Hello Mickael,
merci pour cet article !
Comment effectuer la mise à jour de sécurité pour corriger CVE-2014-2653 sur Ubuntu ? Via Plesk ? Avec une ligne de commande SSH ?
Un peu amateur .. D’avance merci