Informations de sécurité / 2023 / Informations sur la sécurité -- DSA-5409-1 libssh

Bulletin d'alerte Debian

DSA-5409-1 libssh -- Mise à jour de sécurité

Date du rapport :

23 mai 2023

Paquets concernés :

libssh

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1035832.
Dans le dictionnaire CVE du Mitre : CVE-2023-1667, CVE-2023-2283.

Plus de précisions :

Deux problèmes de sécurité ont été découverts dans libssh, une petite bibliothèque SSH en C :

• CVE-2023-1667

  Philip Turnbull a découvert a déréférencement de pointeur NULL qui pouvait avoir pour conséquence un déni de service.

• CVE-2023-2283

  Kevin Backhouse a découvert que pki_verify_data_signature() pouvait échouer à valider correctement l'authentification dans des situations de pression sur la mémoire.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 0.9.7-0+deb11u1.

Nous vous recommandons de mettre à jour vos paquets libssh.

Pour disposer d'un état détaillé sur la sécurité de libssh, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libssh.