Sur LibSSH, une « faille triviale » existait depuis quatre ans Crédits : Grinvalds/iStock

Le Cert-FR explique que la faille réside dans la bibliothèque côté serveur et « permet à un attaquant de provoquer un contournement de la politique de sécurité ». Les versions 0.6 et plus récentes sont concernées.

Le moins que l'on puisse dire, c'est que son exploitation est on ne peut plus triviale : « En envoyant au serveur un message SSH2_MSG_USERAUTH_SUCCESS à la place de SSH2_MSG_USERAUTH_REQUEST auquel le serveur s'attendait pour lancer l'authentification, l'attaquant pouvait s'authentifier avec succès sans aucune information d'identification ».

Des correctifs ont évidemment été déployés pour avec LibSSH 0.8.4 et 0.7.6. Bien qu'utilisant LibSSH, GitHub affirme ne pas être impacté grâce à la manière dont il exploite cette bibliothèque.

La version 0.6 ayant été publiée en janvier 2014, cela fait plus de quatre ans que le contournement des protections pouvait être réalisé de cette manière.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !