16/12/2024

Actu Cybersécurité

Mise à jour de sécurité pour OpenSSH

Récemment, deux failles de sécurité ont été découvertes dans le logiciel OpenSSH qui permet l'établissement de connexion SSH client-serveur sous Linux :

CVE-2014-2532

Jann Horn a découvert qu'OpenSSH ne gérait pas correctement les caractères génériques dans le paramétrage "AcceptEnv". Un attaquant distant pourrait utiliser cette question pour tromper OpenSSH et lui faire accepter n'importe quelle variable d'environnement qui contient le caractères avant le caractère générique.

CVE-2014-2653

Matthew Vernon a indiqué que si un serveur SSH offre un "HostCertificate que le client ssh n'accepte pas, alors le client ne vérifie pas le DNS pour les enregistrements SSHFP. En conséquence, un serveur malveillant peut désactiver le contrôle SSHFP en présentant un certificat.

Logo OpenSSH

Afin de protéger votre serveur, il est recommandé d'effectuer la mise à jour de sécurité qui corrige ces deux failles de sécurité.

  • Pour l'ancienne distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1:5,5 p1-6 + squeeze5.
  • Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:6.0 p1-4 + deb7u1.
  • Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:6.6 p1-1.
author avatar
Mickael Dorigny Co-founder
Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Mise à jour de sécurité pour OpenSSH

  • Hello Mickael,

    merci pour cet article !

    Comment effectuer la mise à jour de sécurité pour corriger CVE-2014-2653 sur Ubuntu ? Via Plesk ? Avec une ligne de commande SSH ?

    Un peu amateur .. D’avance merci

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.