[LCFC] wml://security/2016/dsa-3446.wml
Bonjour,
Le 17/01/2016 14:27, jean-pierre giraud a écrit :
> Bonjour,
> Le 17/01/2016 13:28, Marc Delisle a écrit :
>> Corrections.
>>
> Corrections appliquées, merci Marc.
> Je renvoie le fichier pour de nouvelles relectures.
Passage en LCFC. Je joins le fichier omis dans l'envoi du RFR2.
Merci d'avance pour vos ultimes relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>L'équipe Qualys Security a découvert deux vulnérabilités dans le code
d'itinérance du client OpenSSH, une implémentation du protocole SSH.</p>
<p>L'itinérance de SSH permet à un client, dans le cas d'une déconnexion
imprévue, de se reconnecter plus tard, à condition que le serveur le
permette aussi.</p>
<p>Le serveur OpenSSH ne prend pas en charge l'itinérance, à la différence
du client OpenSSH (même si cela n'est pas documenté) et cela est activé par
défaut.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0777";>CVE-2016-0777</a>
<p>Une fuite d'informations (divulgation de mémoire) peut être exploitée
par un serveur SSH véreux pour forcer un client divulguer de données
sensibles à partir de la mémoire du client, y compris, par exemple, des
clés privées.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0778";>CVE-2016-0778</a>
<p>Un dépassement de tampon (menant à une fuite de descripteur de fichier),
peut aussi être exploité par un serveur SSH, mais à cause d'un autre bogue
dans le code, cela peut éventuellement ne pas être exploitable, et
seulement dans certaines conditions (pas dans la configuration par défaut),
lors de l'utilisation de ProxyCommand, ForwardAgent ou ForwardX11.</p></li>
</ul>
<p>Cette mise à jour de sécurité désactive complètement le code
d'itinérance du client OpenSSH.</p>
<p>Il est aussi possible de désactiver l'itinérance en ajoutant l'option
(non documentée) <q>UseRoaming no</q> au fichier global /etc/ssh/ssh_config,
à la configuration de l'utilisateur ~/.ssh/config, ou en passant
l'instruction -oUseRoaming=no en ligne de commande.</p>
<p>Les utilisateurs avec des clés privées sans phrase de passe,
particulièrement dans des configurations non interactives (tâches
automatiques utilisant ssh, scp, rsync+ssh etc.) devraient mettre à jour
leurs clés s'ils se sont connectés à un serveur SSH non fiable.</p>
<p>Plus de détails sur la manière d'identifier une attaque et les moyens de
la réduire sont disponibles dans l'annonce de Qualys Security.</p>
<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés
dans la version 1:6.0p1-4+deb7u3.</p>
<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés
dans la version 1:6.7p1-5+deb8u1.</p>
<p>Pour la distribution testing (Stretch) et distribution unstable (Sid),
ces problèmes seront corrigés dans une version ultérieure.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssh.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3446.data"
# $Id: dsa-3446.wml,v 1.3 2016/01/19 23:27:48 jipege1-guest Exp $
Reply to: