Vulnérabilité OpenSSH

Tags: #<Tag:0x00007feddd882908>

Bonjour les Debianeux !
Je vous remonte ici une info de Marc Shaefer du GULL (Groupe Utilisateurs Linux Lausanne)
C’est pour info, la bonne santé de votre Debian et pour ceux que ça intéresse.
A +
Lionel.

Bonjour,
Il semblerait que SSH ait eu quelques soucis dans le code de terminaison
(signal handler pas signal-safe), que le bug a été introduit, puis
corrigé, puis réintroduit. Il ne semble pas s’agir d’une attaque, mais
d’une simple régression (d’où le nom de cette vulnérabilité:
regresshion).

La dernière fois qu’il a été réintroduit c’était en 2020 (V_8_5_P1).

Pour Debian, cela signifie probablement que buster (fin de support hier,
upgradez!) et bullseye (fin de support en 2026) ne sont pas vulnérables.

Mais si vous avez un bookworm (fin de support 2028) avec un SSH non
firewallé, je vous recommande de mettre à jour maintenant.

Toutes les infos Debian ici:
CVE-2024-6387

Le background concernant le bug dans OpenSSH:
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

PS: cette fois, le bug n’est pas lié au code introduit, notamment
systemd, par les distributions Linux, mais bien dans la base
de code OpenSSH, donc cela concerne probablement toutes les
distributions, en particulier celles avec des cycles de
maintenance courts.

PS/2: si buster et bullseye sont bien non vulnérables, typiquement
ma seule exposition depuis 2020 a été un honey-pot en conteneur,
ouf!


gull mailing list

2 J'aime

Cici dit si les mises à jour de sécurité ont été appliquées, alros bookworm n’est plus vulnérable.

Source Package Release Version Status
openssh (PTS) bullseye (security), bullseye 1:8.4p1-5+deb11u3 fixed
bookworm 1:9.2p1-2+deb12u2 vulnerable
bookworm (security) 1:9.2p1-2+deb12u3 fixed
sid, trixie 1:9.7p1-6 vulnerable
2 J'aime

Un systemctl stop ssh évite de faire tourner en permanence le serveur ssh. Un systemctl start ssh l’active quand on souhaite l’utiliser. Ça peut être suffisant lorsque serveurs et stations de travail sont à proximité.

Ou encore utiliser du knock at the door

C’est bien ce qui est préconisé dans le texte original:
« Mais si vous avez un bookworm (fin de support 2028) avec un SSH non
firewallé, je vous recommande de mettre à jour maintenant. »