Bonjour, Le mardi 26 décembre 2023 à 11:44 +0100, JP Guillonneau a écrit : > Le 23/12/23 12:37 Jean-Pierre a écrit : > > Six nouvelles annonces de sécurité ont été publiées. > Un détail. > Amicalement Passage en LCFC. Je renvoie le fichier corrigé. Merci d'avance pour vos ultimes relectures. Amicalement, jipege
#use wml::debian::translation-check translation="379642bc802016b86c0a837c2c4e7b3b114c099a" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenSSH, une implémentation du protocole SSH.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-41617";>CVE-2021-41617</a> <p>sshd échouait à initialiser correctement les groupes additionnels lors de l'exécution de AuthorizedKeysCommand ou AuthorizedPrincipalsCommand quand une directive AuthorizedKeysCommandUser ou AuthorizedPrincipalsCommandUser a été définie pour exécuter la commande sous un utilisateur différent. Au lieu de cela, ces commandes héritaient des groupes avec lesquels sshd avait démarré.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-28531";>CVE-2023-28531</a> <p>Luci Stanescu a signalé qu'une erreur empêchait la communication des contraintes à l'agent ssh lors de l'ajout à l'agent d'une clé de sécurité à puce avec des contraintes de destination <q>per-hop</q>, avec pour conséquence l'ajout de clés sans contrainte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-48795";>CVE-2023-48795</a> <p>Fabian Baeumer, Marcus Brinkmann et Joerg Schwenk ont découvert que le protocole SSH est prédisposé à une attaque par troncature de préfixe, connue sous le nom d'attaque <q>Terrapin</q>. Cette attaque permet à un attaquant de type <q>homme du milieu</q> d'effectuer un bris limité de l'intégrité du protocole de transport SSH chiffré ancien en envoyant des messages supplémentaires avant le commencement du chiffrement et en supprimant un nombre égal de messages successifs immédiatement après le début du chiffrement.</p> <p>Vous trouverez des détails à l'adresse <a href="https://terrapin-attaque.com/";>https://terrapin-attaque.com/</a>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-51384";>CVE-2023-51384</a> <p>Lors de l'ajout de clés privés reposant sur PKCS#11, en spécifiant des contraintes de destination, si le jeton PKCS#11 renvoyait plusieurs clés, seule la première clé verra ses contraintes appliquées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-51385";>CVE-2023-51385</a> <p>Si un utilisateur ou un nom d'hôte non valables qui renfermaient des métacaractères de l’interpréteur de commande étaient passés à ssh, et qu'une directive ProxyCommand ou LocalCommand ou un prédicat <q>match exec</q> référençaient l'utilisateur ou le nom d'hôte au moyen de l'expansion de tokens, alors un attaquant qui pouvait fournir des noms d'utilisateur ou d'hôte à ssh pouvait éventuellement réaliser une injection de commande. La situation pouvait survenir dans le cas de dépôts git comprenant des sous-modules, où le dépôt pouvait contenir un sous-module avec des métacaractères de l'interpréteur dans son nom d'utilisateur ou son nom d'hôte.</p></li> </ul> <p>Pour la distribution oldstable (Bullseye), ces problèmes ont été corrigés dans la version 1:8.4p1-5+deb11u3.</p> <p>Pour la distribution stable (Bookworm), ces problèmes ont été corrigés dans la version 1:9.2p1-2+deb12u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssh.</p> <p>Pour disposer d'un état détaillé sur la sécurité de openssh, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/openssh";>\ https://security-tracker.debian.org/tracker/openssh</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5586.data" # $Id: $
Attachment:
signature.asc
Description: This is a digitally signed message part