République Tunisienne

Ministère de l'Agriculture, des Ressources Hydrauliques et de la Pêche
Institution de la Recherche et de l'Enseignement Supérieur Agricoles

iresa

  2. Accueil
  3. Actualités
  4. Faille critique dans OpenSSH
lundi, 27 juin 2016 09:15

Faille critique dans OpenSSH

Évaluer cet élément
(2 Votes)

TunCERT - Tunisian Computer Emergency Response Team

Bulletin de Sécurité N° **2016-024*

OpenSSH | Critique

Référence: tunCERT/Vuln.2016-101

Versions affectées:
OpenSSH antérieures à 7.2p2 avec X11Forwarding activé
Plateformes: Linux

Impacts: Exécution de code arbitrairePerte de confidentialité

Brève description:

Une vulnérabilité a été découverte dans la solution de connectivité
« OpenSSH » à cause de l’impropre stérilisation des données en
entrée par l’utilitaire xauth. L'exploitation de cette faille pourrait
permettre à un attaquant distant d’établir des sessions X11 non
autorisées voire d'exécuter du code arbitraire.

NB : Une preuve de concept a été publiée sur le net.

Solutions:

  • Mettre à jour OpenSSH avec la version 7.2 (p2).
  • Dans le fichier de configuration sshd_config, donnez la valeur « no » au paramètre X11Forwarding (X11Forwarding=no).
  • Téléchargement d’OpenSSHhttp://www.openssh.com/

Source(s) d'informations:

Avis de sécurité OpenSSH
www.openssh.com/txt/x11fwd.adv

En savoir plus sur le site tunCERT 

https://tuncert.ansi.tn/publish/module/vulnerabilite.asp?id_vul=4524

Lu 2212 fois
Plus dans cette catégorie : Attention aux Spams !!! »

Laissez un commentaire

Assurez-vous d'indiquer les informations obligatoires (*).
Le code HTML n'est pas autorisé.

Retour en haut
© 2016 IRESA Tous droits réservés.

menu