Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

OpenSSH ForceCommand Bypass Faille

31/03/2008 11H17
Référence Secunia : SA29602 
Date de publication : 2008-03-31

Risque : Non Critique. Niveau 1 sur 5.
Impact : Contournement de la Sécurité
Lieu : Système local


Solutions :
Correctif de l'éditeur


Produit :
OpenSSH 4.x


Description :
Une faiblesse a été rapportée dans OpenSSH, qui pourrait être exploitée par des utilisateurs locaux malveillants pour passer outre certaines restrictions de sécurité.

Le défaut est causé du fait que le improper implémentation de la directive "ForceCommand". Cela pourrait être exploité pour exécuter des commandes arbitraires via the ~/.ssh/rc file même si un "ForceCommand" directive est dans effect.

Le défaut est rapporté en versions inférieures à 4.9 et 4.9p1.


Solutions :
Mettre à jour en version 4.9 ou 4.9p1.


Vulnérabilité découverte par :

Rapportée par l'éditeur.

Référence :
http://marc.info/?l=openssh-unix-dev&m=120692745026265&w=2




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.