• # Euh, y a un trou là...

    Posté par . En réponse à la dépêche Vulnérabilité OpenSSH. Évalué à 10.

    En effet sur le site d'OpenBSD on a dans la section patches la notice suivante :
    http://www.openbsd.org/errata.html(...)

    Traduction :
    Un bug non (encore) rendu public existe dans OpenSSH pour lequel aucun patch n'est prévu -- aucun pacth n'existe pour l'instant!
    Néamoins une mise à jour vers OpenSSH 3.3 avec l'option UsePrivilegeSeparation activée permet de bloquer cette faille.
    Il est conseillé à tous les utilisatuers de mettre à jour immédiatement, et de garder un oeuil sur la sortie de OpenSSH 3.4 qui aura lieu lundi et qui contiendra une vrai correction de cette faille.

    Trois mondes s'effondrent :
    1°) Il va falloir mettre à jour des BSD, comme dans "c'est obligatoire", "ca vaut mieux", "on prend des risques sinon"
    2°) J'ignore si la faille existe dans le SSH propriétaire, mais si ce n'est pas le cas ca risque d'avoir des conséquences désastreuses sur certains newsgroups et forums.
    3°) OpenBSD est fourni de base avec OpenSSH, donc les versions "anciennes" avaient ce trou de sécurité. Donc il y a un trou de sécurité dans l'installation par défaut d'OpenBSD, on a juste mis 5 ans à le trouver.

    Ceci étant c'est le deuxième exploit d'OpenSSH en un mois (un autre impliquait l'utilisation d'YP avec Netgroup dans la base des mots de passes). C'est pas bon pour ma paranoia ca :).

    Kha
    ---
    OpenBSD Power quand même na!