Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2008-AVI-428-001
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 29 août
2008 No CERTA-2008-AVI-428-001 |
Affaire suivie par :
CERTA
Objet : Vulnérabilités dans
des mises à jour d'OpenSSH sous Red Hat
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-428 |
Une gestion de version détaillée se trouve à la fin de ce document.
Contournement de la politique de sécurité.
Certains paquets de mises à jour OpenSSH distribués pour Red Hat Desktop et Red Hat Enterprise.
Certains serveurs concernant la distribution de paquets pour Red Hat auraient été compromis. Il est possible que certaines mises à jour, en particulier concernant OpenSSH, ne soient pas correctes. Aucune information sur la date de compromission n'est à ce jour connue.
Red Hat publie avec une nouvelle signature les paquets OpenSSH qui corrigent la vulnérabilité CVE-2007-4752 décrite dans l'avis CERTA-2007-AVI-497.
Un script est également fourni afin de tester sur les systèmes les versions installées. Il indique, en s'appuyant sur une liste noire de signatures pas nécessairement exhaustive, si des versions frauduleuses sont présentes.
Se référer au bulletin de sécurité RHSA-2008-0855 de Red Hat pour l'obtention des correctifs (cf. section Documentation).
http://rhn.redhat.com/errata/RHSA-2008-0855.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4752
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3844
http://www.redhat.com/security/data/openssh-blacklist.html
http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-497/