Faille SSH

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes : aucune
1
17
déc.
2002
Sécurité
Rebelote...
Selon le CERT et d'après un rapport de Rapid7, de nombreuses version de logiciels SSH possède une faille permettant de lancer des commandes de l'extérieur avec les privilèges de l'utilisateur du processus SSH ou de permettre des attaques par saturation (DOS). Cette faille touche autant des clients que des serveurs SSH utilisant la version 2 du protocole.

La bonne nouvelle est que OpenSSH n'est pas touché par cette faille. Une preuve de plus de la qualité des logiciels libres ?

Par contre Putty (client Windows très utilisé) est victime de cette faille.

Les solutions proposées sont, pour le moment, de restreindre les accès sur les serveurs (par ip par exemple) et de se connecter qu'à des serveurs bien connus pour les clients.

Aller plus loin

  • # Re: Faille SSH

    Posté par  . Évalué à 0.

    La bonne nouvelle est que OpenSSH n'est pas touché par cette faille. Une preuve de plus de la qualité des logiciels libres ?


    Ca depend, faudrait aussi compter les failles qui ont touche OpenSSH et qui n'ont pas touche les autres implementations.

    Et honnetement, vu le nombre de fois que j'ai entendu parler de OpenSSH l'annee passee, je suis pas sur qu'il sorte gagnant.

    • [^] # Re: Faille SSH

      Posté par  . Évalué à 10.

      FAUX, ça veut rien dire du tout.
      On pourrait très bien ne rien dire sur les failles de Windows et faire tout un plat à la moindre faille sour Linux, ce n'est pas pour autant qu'il faille en déduire que Linux est moins solide.
      Le fait qu'on parle plus des failles de OpenSSH quand il y en a, est dans le simple but d'informer et de mettre à jour rapidement.

      Attention à bien rester dernier juge de ses lectures.
      Les journalistes windosiens prennent du plaisir à casser Linux à la moindre bourde. Toujours relativiser.

      • [^] # Re: Faille SSH

        Posté par  (site web personnel) . Évalué à 4.

        Les journalistes linuxien prennent AUSSI du plaisir à casser Windows à la moindre bourde. Toujours relativiser.

      • [^] # Re: Faille SSH

        Posté par  . Évalué à 4.

        Tu t'excites pour rien.

        Je vois un gars qui sur une faille voit que OpenSSH n'est pas vulnerable alors que XY l'est, et hop il nous sort la phrase habituelle: "Une preuve de plus de la qualité des logiciels libres ? "

        Moi je ne fais que lui dire de regarder les autres bugs de securite et de tirer ses conclusions sur l'ensemble.

        • [^] # Re: Faille SSH

          Posté par  (site web personnel) . Évalué à 0.

          Le point d'intérogation à la fin de ma phrase avait *vraiment* pour but de poser une question, pas de juger de la qualité ou non de OpenSSH.

          Si j'avais voulu être afirmatif, j'aurais omis le point d'intérogation et là aurait mérité une critique justifiée.

          • [^] # Re: Faille SSH

            Posté par  . Évalué à -1.

            C'est vrai, et c'est pour ca que je suis reste mesure dans ma reponse.

            Quand il s'agit de rembarrer quelqu'un qui raconte une connerie, je suis d'habitude bcp plus cynique.

            • [^] # Re: Faille SSH

              Posté par  . Évalué à 1.

              ca c'est vrai

              [oki je sors...-1]

    • [^] # Re: Faille SSH

      Posté par  . Évalué à 8.

      Tu as raison, la force du logiciel libre c'est la correction rapide des failles et la disponibilité des correctifs.

      • [^] # Re: Faille SSH

        Posté par  (site web personnel) . Évalué à 6.

        Et aussi le fait qu'il n'y ait pas un section qui choisi quelle sont les failles a corriger

      • [^] # Re: Faille SSH

        Posté par  . Évalué à 3.

        Et que sur un logiciel libre il n'y a pas de secrets commerciaux, la transparence et un des atouts majeurs du LL.

      • [^] # Re: Faille SSH

        Posté par  (site web personnel) . Évalué à 2.

        Tu as raison, la force du logiciel libre c'est la correction rapide des failles et la disponibilité des correctifs.

        Encore faut-il que les administrateurs appliquent les correctifs.
        On dit souvent que 1/3 des versions à risques sont patchées lorsque la faille est découverte, 1/3 est patché lorsque un exploit est découvert et 1/3 restent incorrigés... C'est bien triste :-(

        • [^] # Re: Faille SSH

          Posté par  . Évalué à 1.

          Sur ce point je pense que la seule différence se fait sur les outils de mise à jour automatique.

  • # Re: Faille SSH

    Posté par  . Évalué à 6.

    Je ne suis pas sur de tous comprendre, dans le cas d'un client putty qui se connecte sur un serveur openssh "trusty" un risque existe ou pas ?
    j'intuite que non ou plutot que le risque est faible mais ce n'est pas très clair ...

    sinon pour répondre à PBPG : on parle ici des failles découvertes, pas de toutes celles potentiellment cachées dans le code secret des applis propriétaires. Ne parlons pas de la rapidité de correction des trous et des choix liés au classement de la sévérité des problèmes (http://www.osopinion.com/perl/story/20251.html(...)) ...

    Il est probable que openssh convergera plus vite vers un état exempt de problème sévère. Dans ce modèle on peut penser que un maximum de failles sont découvertes au début du cycle de vie du logiciel. Ceci raccourci le temps de maturation du projet pour aboutir plus rapidement à un état fiable du produit (cf openbsd ) .

    • [^] # Re: Faille SSH

      Posté par  . Évalué à 1.

      Moi, j'intuite que sous Windows, il va falloir soit se tourner vers Mindtem, soit se tourner vers OpenSSH via cygwin32... et donc
      installer GNUWin32 partout où on est forcé d'avoir un poste sous Windows...

      • [^] # Re: Faille SSH

        Posté par  . Évalué à 4.

        La lecture du rapport de Rapid7 (les découvreurs de la faille) indique que la version 0.53b (la dernière en date) de PuTTY n'est pas vulnérable. D'ailleurs, cette version est sortie pour corriger quelques problèmes de sécurité. Et elle date d'il y a quand même un mois déjà.

        Conclusion : sous Windows, on peut très bien continuer à travailler avec PuTTY (contrairement à ce que laisse supposer le rapport du CERT).

        Zeiram

      • [^] # Re: Faille SSH

        Posté par  . Évalué à 2.

        Non seulement PuTTY est un excellent logiciel, mais en plus c'est un logiciel libre (sous licence MIT, compatible avec la GPL) ! D'autre part les développeurs ont l'air sérieux.

    • [^] # Re: Faille SSH

      Posté par  . Évalué à 0.

      Bah bien sur.

      Le truc est que ce que tu dis serait vrai si les gens qui avaient decouvert les failles rendues public l'avaient fait en lisant le code source plutot qu'en essayant en "black box", et que je sache ce n'etait pas forcement le cas.

      Sinon quand a ce qui est de converger vers un soft sans trous de securite, tu iras expliquer ca a sendmail, bind et wu_ftpd, a premiere vue eux n'ont pas encore fini de converger.

    • [^] # Re: Faille SSH

      Posté par  . Évalué à 1.

      Ceci raccourci le temps de maturation du projet pour aboutir plus rapidement à un état fiable du produit (cf openbsd ) .

      c'est vrai le développement d'OpenBSD à été fulgurant :

      (1978) 1BSD ... 4.3BSD -fork-> (1990) BSD Net/2 -renomage-> (1991) NetBSD -fork-> (1995) OpenBSD

      soit à la louche 25 ans.

      (d'apres l'excellent www.levenez.com)

  • # Re: Faille SSH

    Posté par  . Évalué à 2.

    Cool on vas pouvoir tester ca pour le concour de la new juste en dessous ! :)

  • # Re: Faille SSH

    Posté par  . Évalué à 2.

    Hé bien!

    J'vais repasser à Telnet, moi ^^

    • [^] # Re: Faille SSH

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      Bah, il reste toujours le protocole du rfc 1149, au pire. (Gardez-donc votre pain sec, ça peut servir!)

      La gelée de coings est une chose à ne pas avaler de travers.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.