news sur les problèmes de OpenSSH

Posté par  . Modéré par Manuel Menal.
Étiquettes :
0
2
juil.
2002
Sécurité
La grande nouvelle est la mise à disposition de l'exploit de Gobbles, qui après s'etre illustré avec son exploit pour Apache remet ca avec OpenSSH.
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).

Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).

Aller plus loin

  • # Euh ...

    Posté par  . Évalué à -10.

    Elle est où la nouvelle là ?!

    Pas de quoi passer en permière page.
    • [^] # Re: Euh ...

      Posté par  (site web personnel) . Évalué à -3.

      Il est où le post là ?!

      Pas de quoi poster en permière place.
      • [^] # Re: Euh ...

        Posté par  . Évalué à 0.

        Uh ? C'est en première place parce que c'est tombé comme ça !

        Je persiste et je signe. Je pense qu'il n'était pas nécessaire de le passé en première page.
        En effet, le trou de sécurité a été annoncé quelques jours plutôt, ici il n'est question que de la mise à disposition de l'exploit.

        Ceux qui se préoccupent sérieusement de sécurité n'auront pas attendu l'annonce sur dlfp.

        Tiens, comme je suis bon prince je te donne même un argument contradictoire : oui, mais passez lz news en premièrer page c'est pour ceux qui sont passé a coté de la première annonce et qui n'ont pas mis à jour leur Lin^W OS

        O:-)

        allez -1 parce qu'on s'en fout
  • # exploit *BSD

    Posté par  . Évalué à 10.

    Petite note: comme on me l'a gentillement fait remarquer, l'exploit en question n'est pas sensé marcher sous Linux mais il permet déja de voir si la version de OpenSSH utilise skey ou keyboard-interactive...
    désolé pour l'imprecision !
  • # Attention à l'excès d'optimisme..

    Posté par  . Évalué à 10.

    J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)

    Attention, ils ne sont pas vulnérables à l'exploit publié par Gobbles.

    Comme le dit l'advisory, il reste une vulnérabilité dans auth2-pam.c, mais personne ne s'est donné jusqu'à présent la peine de vérifier si elle était exploitable, et de publier un exploit le cas échéant.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.