Nouvelle faille dans OpenSSH / Debian

Une nouvelle vulnérabilité de type élévation de privilège touche les packages OpenSSH de la distribution Debian.

Il semblerait possible de se logguer sur un serveur OpenSSH en se donnant le rôle SELinux que l'on souhaite pour peu que le binaire d'OpenSSH ait été compilé avec support de SELinux.

Un pirate utilisant un simple client SSH peut lancer cette commande :

ssh -p2222 -lusername:/wishedrole 127.0.0.1

La vulnérabilité est peu discutée pour le moment on en saura sans doute plus d'ici peu.

Plus d'infos/ texte original : http://www.securityfocus.com/bid/30276/

Posté le 21 juillet 2008 par Jeremy AMIOT - source securityfocus.com

Vous pouvez commenter cette nouvelle
en posant vos avis, questions et remarques
sur le forum actualité