Oui, c'est justement pour ça qu'on demande à tout le monde de passer en OpenSSH 3.3, car c'est justement cette version qui introduit cette option !
Non, privsep est plus ancien, mais un gros effort (à cause de l'existence de cette faille) a été fait afin que privsep soit disponibles sur plus de systèmes dans la version portable d'OpenSSH.
Par contre, à partir d'OpenSSH 3.3, privsep est activé par défaut, ce qui n'était pas le cas avant.
Un système OpenBSD 3.1 (donc sous OpenSSH 3.2) dont la configuration du sshd a été modifiée afin d'activer privsep, n'est pas plus vulnérable qu'un OpenSSH 3.3.
[^] # Re: man ssh / UsePrivilegeSeparation
Posté par Miod in the middle . En réponse à la dépêche Vulnérabilité OpenSSH. Évalué à 8.
Non, privsep est plus ancien, mais un gros effort (à cause de l'existence de cette faille) a été fait afin que privsep soit disponibles sur plus de systèmes dans la version portable d'OpenSSH.
Par contre, à partir d'OpenSSH 3.3, privsep est activé par défaut, ce qui n'était pas le cas avant.
Un système OpenBSD 3.1 (donc sous OpenSSH 3.2) dont la configuration du sshd a été modifiée afin d'activer privsep, n'est pas plus vulnérable qu'un OpenSSH 3.3.