Outils pour utilisateurs

Outils du site


openbsd.org:openssh:security

[ OpenBSD ] [ OpenSSH ] ~ Traduction française de la page OpenSSH Security : (v1.65 ; 03/03/2021)


OpenSSH : Sécurité

OpenSSH est développé avec la même rigueur de processus de sécurité pour laquelle le groupe OpenBSD est réputé. Si vous souhaitez rapporter un problème de sécurité dans OpenSSH, veuillez contacter la liste privée des développeurs openssh@openssh.com.

Pour plus d'informations, lisez la page sécurité d'OpenBSD.

  • 3 Mars 2021
    ssh-agent dans OpenSSH entre 8.2 et 8.4 (inclus).
    Corruption mémoire double-libre. Atténué par la vérification de l'identité de l'utilisateur du socket pair et la protection double-libre dans malloc(3). Ce bogue est corrigé dans OpenSSH 8.5. Pour plus d'informations, veuillez vous référer aux notes de la version.
  • 3 Octobre 2017
    Toutes les versions d'OpenSSH précédent la version 7.6 prenant en charge le mode lecture seule du serveur SFTP (introduit dans 5.5). Une ouverture incorrecte des drapeaux open(2) dans le serveur SFTP permettait la création de fichiers vides lorsque le serveur fonctionnait en mode lecture seule (invoqué par l'utilisation de l'option -R en ligne de commande).
    Ce bogue a été corrigé dans OpenSSH 7.6. Pour plus d'informations, veuillez vous référer aux notes de version.
  • 9 Mars 2016
    Toutes les versions d'OpenSSH antérieures à la version 7.2p2 ayant l'option X11Forwarding activée. Un manque de filtrage dans les données entrantes non fiables permet à un utilisateur authentifié qui est capable de requérir la redirection X11 d'injecter des commandes vers xauth(1).
    Pour l'atténuer, paramétrez X11Forwarding=no dans le fichier sshd_config, ou en ligne de commande. C'est le comportement par défaut, mais certains vendeurs activent cette fonctionnalité.
    Pour plus d'informations, lisez cet avis.
    Ce bogue a été corrigé dans OpenSSH 7.2p2 et dans la branche stable d'OpenBSD. Pour plus d'informations, veuillez vous référer aux notes de version.
  • 14 Janvier 2016
    Les clients OpenSSH entre les versions 5.4 à 7.1 sont vulnérables à la divulgation d'informations qui permettent à des serveurs pirates de récupérer des informations incluant, dans certaines circonstances, les clés privées de l'utilisateur. Cela peut être atténué en ajoutant l'option de configuration non documentée UseRoaming no au fichier ssh_config.
    Pour plus d'informations, lisez les avis de sécurité CVE-2016-0777 et CVE-2016-0778.
    Ce bogue a été corrigé dans OpenSSH 7.1p2 et dans la branche stable d'OpenBSD. Pour plus d'informations, veuillez vous référer aux notes de version.
  • 21 Août 2015
    OpenSSH 7.0 contient une erreur logique dans PermitRootLogin= prohibit-password/without-password qui pourrait, dépendant de la configuration au moment de la compilation, permettre l'authentification par mot de passe à root, tout en empêchant d'autres formes d'authentification.
    Ce bogue a été corrigé dans OpenSSH 7.1. Pour plus d'informations, veuillez vous référer aux notes de version.
  • 11 Août 2015
    Les versions 6.7 à 6.9 d'OpenSSH assignent des permissions faibles aux dispositifs TTY.
    L'authentification Keyboard-interactive dans les versions antérieures à 7.0 d'OpenSSH peut permettre le contournement de l'option MaxAuthTries.
    Ces bogues ont été corrigées dans OpenSSH 7.0. Pour plus d'informations, veuillez vous référer aux notes de version.
  • 30 Juin 2015
    OpenSSH antérieur à la version 6.9 souffre d'une condition qui pourrait permettre des sessions de redirections X11 non vérifiées traitées comme l'étant. Pour plus d'informations, veuillez vous référer aux notes de version.
  • 22 Juillet 2008
    La version portable d'OpenSSH 5.1 et les plus récentes ne sont pas vulnérables à l'attaque par détournement de l'option X11UseLocalhost=no sur HP/UX (et possiblement sur d'autres systèmes) décrite dans les notes de version d'OpenSSH 5.1.
  • 31 Mars 2008
    OpenSSH 4.9 et les plus récentes versions n'exécutent pas ~/.ssh/rc pour les sessions qui commandent de surcharger avec la directive ForceCommand dans sshd_config(5). Cela était documenté, mais était un comportement non sûr (décrit dans les notes de version d'OpenSSH 4.9).
  • 5 Septembre 2007
    OpenSSH 4.7 et les plus récentes versions ne se rabattent pas vers la création de cookies d'authentifications de X11 vérifiés lorsque la génération d'un cookie non vérifié échoue (e.g. en raison d'un épuisement délibéré des ressources), tel que décrit dans les notes de version d'OpenSSH 4.7.
  • 7 Novembre 2006
    OpenSSH 4.5 et les versions plus récentes corrigent une faiblesse dans le moniteur de séparation de privilèges qui pourrait être utilisé pour usurper une authentification réussie (décrite dans les notes de version d'OpenSSH 4.5). Notez que l'exploitation de cette vulnérabilité nécessiterait qu'un attaquant ait déjà subverti le processus network-facing de sshd(8) ; aucune vulnérabilité connue ne le permet.
  • 1er Février 2006
    OpenSSH 4.3 et les versions les plus récentes ne sont pas vulnérables à l'expansion des méta-caractères de shell dans les copies local vers local et distant vers distant par scp(1) (CVE-2006-0225), telle que décrite dans les notes de version d'OpenSSH 4.3.
  • 1er Septembre 2005
    OpenSSH 4.2 et les versions les plus récentes :
    • ne permettent pas la délégation de crédits GSSAPI après authentification en utilisant une méthode non GSSAPI telle que décrite dans les notes de version d'OpenSSH 4.2.
    • n'activent pas de manière incorrecte l'option GatewayPorts pour les redirections dynamiques (bogue introduit dans OpenSSH 4.0), telle que décrite dans les notes de version d'OpenSSH 4.2.
  • 16 Septembre 2003
    • La version portable d'OpenSSH 3.7.1p2 et les plus récentes ne sons pas vulnérables à l'avis de sécurité d'OpenSSH “September 23, 2003: Portable OpenSSH Multiple PAM vulnerabilities”. (Cette issue n'affecte pas les versions d'OpenBSD).
    • OpenSSH 3.7.1 et les plus récentes ne sont pas vulnérables à l'avis de sécurité d'OpenSSH “September 16, 2003: OpenSSH Buffer Management bug” et l'avis du CERT CA-2003-24.
  • 1er Août 2002
    Les versions 3.2.2p1, 3.4p1 et 3.4 d'OpenSSH ont été piratées par trojan sur le serveur FTP d'OpenBSD et potentiellement propagées via le processus normal de synchronisation miroir vers les autres serveurs FTP. Le code a été inséré quelque part entre le 30 et le 31 Juillet. Nous avons remplacé les fichiers piratés par leurs originaux du premier Août, de 7 heures du matin : Avis OpenBSD.
  • 26 Juin 2002
    OpenSSH 3.4 et les plus récentes ne sont pas vulnérables à l'avis de sécurité d'OpenSSH “June 26, 2002: OpenSSH Remote Challenge Vulnerability”
  • 29 Mars 2002
    OpenSSH 3.2.1 et les plus récentes ne sont pas vulnérables à l'avis de sécurité d'OpenSSH “April 21, 2002: Buffer overflow in AFS/Kerberos token passing code” : les versions antérieures à OpenSSH 3.2.1 permettent l'accès privilégié si le passage d'un jeton AFS ou Kerberos est compilé et activé (soit dans le système soit dans le fichier sshd_config).
  • 7 Mars 2002
    OpenSSH 3.1 et les plus récentes ne sont pas vulnérables à l'avis de sécurité d'OpenSSH “March 7, 2002: Off-by-one error in the channel code”
  • 6 Novembre 2000
    • OpenSSH 2.3.1, un développement snapshot qui n'est jamais sorti, était vulnérable à l'avis de sécurité d'OpenBSD “Feb 8, 2001: Authentication By-Pass Vulnerability in OpenSSH-2.3.1”. Dans le protocole 2, l'authentification pouvait être outrepassée si l'authentification par clé publique était permise. Ce problème existe seulement dans OpenSSH 2.3.1, une version de développement en interne de trois semaines. OpenSSH 2.3.0 et les versions plus récentes que la 2.3.1 ne sont pas vulnérables à ce problème.
  • 6 Novembre 2000
    • OpenSSH 2.3.0 et les plus récentes ne permettent pas à des serveurs pirates d'accéder à l'affichage X11 de client ou à l'agent ssh-agent. Ce problème a été corrigé dans OpenSSH 2.3.0.
    • OpenSSH 2.3.0 et les plus récentes ne sont pas vulnérables à l'avis de sécurité RAZOR Bindview Advisory CAN-2001-0144 “Feb 8, 2001: SSH-1 Daemon CRC32 Compensation Attack Detector Vulnerability”. Un dépassement de tampon dans le détecteur d'attaques de compensation CRC32 peut entraîner un accès distant root. Ce problème a été corrigé dans OpenSSH 2.3.0. Toutefois, les versions antérieures à 2.3.0 sont vulnérables.
  • 2 Septembre 2000
    OpenSSH 2.2.0 et les plus récentes ne sont pas vulnérables à l'avis de sécurité CORE-SDI Advisory CORE-20010116 “Feb 7, 2001: SSH-1 Session Key Recovery Vulnerability”. OpenSSH impose des limites de taux de connexions, rendant l'attaque non faisable. De plus, l'oracle Bleichenbacher a été complètement fermé depuis le 29 Janvier 2001.
  • OpenSSH n'était pas vulnérable aux attaques par craquage, rediffusion ou modification du mot de passe du code RC4. À l'époque où OpenSSH a été démarré, on savait déjà que SSH1 utilisait de manière complètement incorrecte le chiffrement de flux par RC4, ainsi la prise en charge de RC2 a été supprimée.
  • OpenSSH n'était pas vulnérable aux attaques de redirection de client dans des connexions non chiffrées, puisque la prise en charge des connexions non chiffrées a été supprimée au démarrage du projet OpenSSH.
  • OpenSSH n'était pas vulnérable aux attaques sur le dernier paquet de l'algorithme de chiffrement IDEA , puisque l'algorithme IDEA n'était pas pris en charge. Le statut des brevets d'IDEA rendait impossible l'import dans OpenSSH.
  • OpenSSH n'était pas vulnérable aux attaques de redirections X11 non contrôlables puisque la redirection X11 était désactivée par défaut et que l'utilisateur peut l'empêcher.
  • OpenSSH avait une déficience dans le protocole SSH 1 qui pouvait permettre une attaque par insertion difficile mais possible. Le mécanisme de défense CORE-SDI est utilisé pour éliminer ce cas commun. La prise en charge du protocole SSH 1 est désactivée par défaut.

Cette page est la traduction officieuse de la page “Security” officielle de OpenSSH.
En cas de doute, merci de vous y référer !

Si vous voulez participer à l'effort de traduction, merci de lire ce topic.


Contribut(rice|eur)s :

jibe pengouinpdt
openbsd.org/openssh/security.txt · Dernière modification: 2021/05/01 02:22 de pengouinpdt