[Bulletin d’Alerte Cyberprotect] Vulnérabilité critique sur OpenSSH

Une vulnérabilité critique dans le client OpenSSH a été rendue publique (CVE-2016-0777). Un pirate qui aurait compromis un serveur peut récupérer toutes les clés nécessaires pour se connecter à d’autres serveurs que possèderaient le client OpenSSH. La vulnérabilité concerne les versions OpenSSH 5.4 et supérieures Nous vous invitons à mettre à jour OpenSSH vers sa…

Une vulnérabilité critique dans le client OpenSSH a été rendue publique (CVE-2016-0777).

Un pirate qui aurait compromis un serveur peut récupérer toutes les clés nécessaires pour se connecter à d’autres serveurs que possèderaient le client OpenSSH.

La vulnérabilité concerne les versions OpenSSH 5.4 et supérieures

Nous vous invitons à mettre à jour OpenSSH vers sa version la plus récente (après avoir vérifié la compatibilité avec les applications utilisées) –>  http://www.openssh.com/

Il est également possible d’appliquer la modification suivante sur vos machines pour remédier à la vulnérabilité :

dans le fichier ‘/etc/ssh/ssh_config

ajoutez la ligne suivante :

UseRoaming no

L’option existe mais n’est pas documenté.

ATTENTION, ne pas placer cette option dans la configuration du serveur (sshd_config).

Pensez à redémarrer le service SSH.

Plus d’informations sur http://seclists.org/oss-sec/2016/q1/97

React