Vulnérabilité dans Openssh

Date de publication : 29/09/2022

CVE-2021-28041 [Score CVSS v3 : 9.8] : Une faille de corruption de mémoire double-free a été découverte dans OpenSSH 8.2. Cette faille permet à un attaquant distant et non-authentifié de transférer un agent soit vers un compte partagé avec un attaquant, soit vers un hôte avec un attaquant détenant un accès root.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Contournement d’authentification
Violation des politiques de sécurité

Criticité

Score CVSS v3 : 9.8

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible à l’heure actuelle.

Composants vulnérables

Les versions d’openssh antérieures à la version 8.5 sont impactées par cette vulnérabilité.
Les distributions Ubuntu, RedHat, SUSE et CentOS sont impactées par cette vulnérabilité (non-exhaustif). Les distributions Debian ne sont pas impactées par cette vulnérabilité

CVE

CVE-2021-28041

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Openssh vers la version 8.5.

Solution de contournement

Aucune solution de contournement n’est proposée publiquement à l’heure actuelle.

Liens

OpenSSH Security Notice