[gull] openssh remote vulnerability

Marc SCHAEFER schaefer at alphanet.ch
Mon Jul 1 11:07:50 CEST 2024


Bonjour,

Il semblerait que SSH ait eu quelques soucis dans le code de terminaison
(signal handler pas signal-safe), que le bug a été introduit, puis
corrigé, puis réintroduit.  Il ne semble pas s'agir d'une attaque, mais
d'une simple régression (d'où le nom de cette vulnérabilité:
regresshion).

La dernière fois qu'il a été réintroduit c'était en 2020 (V_8_5_P1).

Pour Debian, cela signifie probablement que buster (fin de support hier,
upgradez!) et bullseye (fin de support en 2026) ne sont pas vulnérables.

Mais si vous avez un bookworm (fin de support 2028) avec un SSH non
firewallé, je vous recommande de mettre à jour maintenant.

Toutes les infos Debian ici:
   https://security-tracker.debian.org/tracker/CVE-2024-6387

Le background concernant le bug dans OpenSSH:
   https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

PS: cette fois, le bug n'est pas lié au code introduit, notamment
    systemd, par les distributions Linux, mais bien dans la base
    de code OpenSSH, donc cela concerne probablement toutes les
    distributions, en particulier celles avec des cycles de
    maintenance courts.

PS/2: si buster et bullseye sont bien non vulnérables, typiquement
      ma seule exposition depuis 2020 a été un honey-pot en conteneur,
      ouf!


More information about the gull mailing list