SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
SSH Sentinel et Secure Shell BER/DER Decoding Vulnérabilité
21/01/2007 16H05
Référence Secunia : SA9904
Date de publication : 2003-10-02
Dernière mise à jour : 2005-07-01
Risque : Moyennement Critique. Niveau 3 sur 5. 
Impact : DoS
Lieu : A distance
Solutions :
Correctif de l'éditeur
Produit :
SSH Secure Shell pour Servers 3.x
SSH Secure Shell pour les serveurs Windows 3.x
SSH Secure Shell pour Workstations 3.x
SSH Sentinel 1.x
Description :
Une vulnérabilité a été rapportée dans SSH Secure Shell et SSH Sentinel, qui pourrait être exploitée par des personnes malintentionnées pour causer un Déni de Service (DoS) sur un système vulnérable.
La vulnérabilité est causée du fait d'une erreur dans le BER/DER decoding. Cela pourrait être exploité en envoyant malformed BER/DER packets vers un système vulnérable, qui pourrait l'entrainer à planter.
Servers sont vulnérables if:
* Certificate based authentification est utilisé avec the "Pki" definition dans le fichier de configuration.
* Hostbased authentification pour le serveur et le client est utilisé.
* The commercial ou non-commercial version du SSH Secure Shell Client pour Windows est utilisé.
Server ne sont pas vulnérables if:
* Only mot de passe authentification est utilisé.
* The non-commercial Unix distribution qui ne contient pas the PKI fonctionnalité est utilisé.
* Public key authentification est autorisé sans spécifiant the "Pki" keyword dans le serveur fichier de configuration (sshd2_config).
Solutions :
Mettre à jour pour SSH Secure Shell version 3.2.9 ou SSH Sentinel version 1.4.1 build 98.
SSH Secure Shell pour Workstations 3.2:
http://www.ssh.com/support/downloads/secureshellwks/updates-and-packages-3-2.html
SSH Secure Shell pour Servers 3.2:
http://www.ssh.com/support/downloads/secureshellserver/updates-and-packages-3-2.html
SSH Secure Shell pour les serveurs Windows 3.2:
http://www.ssh.com/support/downloads/secureshellwinserver/updates-and-packages-3-2.html
SSH Sentinel 1.4:
http://www.ssh.com/support/downloads/sentinel/updates-and-packages-1-4.html
Vulnérabilité découverte par :
Vulnérabilité découverte par l'éditeur.
Historique :
2005-07-01: Bulletin mis à jour.
Référence :
SSH Communications Security:
http://www.ssh.com/company/newsroom/article/476/
http://www.ssh.com/company/newsroom/article/477/
Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
SECURINFOS