En effet, il semblerait que même si ISS a changé de méthode (hum ...), ça reste caché ... De plus, la nouvelle version ne corrige pas le problème, mais ne permet la compromission que d'un compte non privilégié. Cela ouvre donc la porte à l'utilisation de tout escalation de privilège ou tout exploit local !
De plus, vu le peu de temps donné, ainsi que le manque d'informations sur la faille font qu'aucun paquet corrigé n'est disponible pour la potato. De même, la version pour la woody n'a pas été testée par l'équipe QA et peut donc tout casser, en plus de ne pas être totalement fonctionnelle (compression indisponible sur certains systèmes, PAM indisponible) !
Bien sûr, il ne faut pas critiquer quelqu'un qui divulgue une faille de sécurité sur un LL, mais là je trouve qu'ils poussent le bouchon un peu trop loin. D'abord l'affaire apache, maintenant openSSH, je commence vraiment à apprécier de moins en moins ISS ...
# Réponse chez Debian
Posté par François B. . En réponse à la dépêche Vulnérabilité OpenSSH. Évalué à 10.
En effet, il semblerait que même si ISS a changé de méthode (hum ...), ça reste caché ... De plus, la nouvelle version ne corrige pas le problème, mais ne permet la compromission que d'un compte non privilégié. Cela ouvre donc la porte à l'utilisation de tout escalation de privilège ou tout exploit local !
De plus, vu le peu de temps donné, ainsi que le manque d'informations sur la faille font qu'aucun paquet corrigé n'est disponible pour la potato. De même, la version pour la woody n'a pas été testée par l'équipe QA et peut donc tout casser, en plus de ne pas être totalement fonctionnelle (compression indisponible sur certains systèmes, PAM indisponible) !
Bien sûr, il ne faut pas critiquer quelqu'un qui divulgue une faille de sécurité sur un LL, mais là je trouve qu'ils poussent le bouchon un peu trop loin. D'abord l'affaire apache, maintenant openSSH, je commence vraiment à apprécier de moins en moins ISS ...