Bonjour les Debianeux !
Je vous remonte ici une info de Marc Shaefer du GULL (Groupe Utilisateurs Linux Lausanne)
C’est pour info, la bonne santé de votre Debian et pour ceux que ça intéresse.
A +
Lionel.
Bonjour,
Il semblerait que SSH ait eu quelques soucis dans le code de terminaison
(signal handler pas signal-safe), que le bug a été introduit, puis
corrigé, puis réintroduit. Il ne semble pas s’agir d’une attaque, mais
d’une simple régression (d’où le nom de cette vulnérabilité:
regresshion).
La dernière fois qu’il a été réintroduit c’était en 2020 (V_8_5_P1).
Pour Debian, cela signifie probablement que buster (fin de support hier,
upgradez!) et bullseye (fin de support en 2026) ne sont pas vulnérables.
Mais si vous avez un bookworm (fin de support 2028) avec un SSH non
firewallé, je vous recommande de mettre à jour maintenant.
Toutes les infos Debian ici:
CVE-2024-6387
Le background concernant le bug dans OpenSSH:
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
PS: cette fois, le bug n’est pas lié au code introduit, notamment
systemd, par les distributions Linux, mais bien dans la base
de code OpenSSH, donc cela concerne probablement toutes les
distributions, en particulier celles avec des cycles de
maintenance courts.
PS/2: si buster et bullseye sont bien non vulnérables, typiquement
ma seule exposition depuis 2020 a été un honey-pot en conteneur,
ouf!
gull mailing list