L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

bulletin de vulnérabilité informatique CVE-2015-5600

OpenSSH : contournement de MaxAuthTries via KbdInteractiveDevices

Synthèse de la vulnérabilité

Un attaquant peut contourner la directive MaxAuthTries de OpenSSH, afin de mener une attaque par brute force.
Gravité de cette annonce : 2/4.
Date création : 20/07/2015.
Références de cette vulnérabilité informatique : 9010048, bulletinoct2015, CERTFR-2015-AVI-431, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, cpujul2018, CVE-2015-5600, DLA-1500-1, DLA-1500-2, FEDORA-2015-11981, FEDORA-2015-13469, FreeBSD-SA-15:16.openssh, JSA10697, JSA10774, JSA10840, K17113, NTAP-20151106-0001, RHSA-2015:2088-06, RHSA-2016:0466-01, SB10157, SB10164, SOL17113, SUSE-SU-2015:1581-1, SYMSA1337, USN-2710-1, USN-2710-2, VIGILANCE-VUL-17455.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le serveur OpenSSH utilise la directive de configuration MaxAuthTries pour définir le nombre maximal de tentatives d'authentification dans une session.

Le client OpenSSH utilise l'option KbdInteractiveDevices pour définir la liste des méthodes d'authentification.

Cependant, si le client emploie "KbdInteractiveDevices=pam,pam,pam,etc.", le nombre MaxAuthTries est multiplié d'autant. La limite devient alors LoginGraceTime (10 minutes par défaut).

Un attaquant peut donc contourner la directive MaxAuthTries de OpenSSH, afin de mener une attaque par brute force.
Bulletin Vigil@nce complet... (Essai gratuit)

Cette alerte cybersécurité concerne les logiciels ou systèmes comme Blue Coat CAS, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, Juniper J-Series, Junos OS, Junos Space, NSM Central Manager, NSMXpress, McAfee NSP, McAfee Web Gateway, Data ONTAP 7-Mode, OpenSSH, Oracle Communications, Solaris, pfSense, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de menace est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client intranet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette annonce de menace informatique.

Solutions pour cette menace

OpenSSH : version 7.0.
La version 7.0 est corrigée :
  http://www.openssh.com/

OpenSSH : patch pour MaxAuthTries.
Un patch est disponible dans les sources d'information.

OpenSSH : contre-mesure pour MaxAuthTries.
Une contre-mesure consiste à :
 - sous FreeBSD : utiliser la fonctionnalité "overload" du firewall PF
 - sous les autres systèmes : utiliser la fonctionnalité du firewall permettant de limiter le nombre de connexions depuis une adresse IP/réseau
 - baisser LoginGraceTime à 30 secondes

Blue Coat Content Analysis System : versions corrigées pour OpenSSH.
Les versions corrigées sont indiquées dans les sources d'information.

Debian 8 : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  Debian 8 : openssh 1:6.7p1-5+deb8u7

F5 BIG-IP : solution pour OpenSSH.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  Fedora 21 : openssh 6.6.1p1-16.fc21
  Fedora 22 : openssh 6.9p1-3.fc22

FreeBSD : patch pour OpenSSH.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-15:16/openssh-8.patch
  https://security.FreeBSD.org/patches/SA-15:16/openssh-8-errata.patch
  https://security.FreeBSD.org/patches/SA-15:16/openssh.patch

ITeFix Copssh : version 5.3.0.
La version 5.3.0 est corrigée :
  https://www.itefix.net/software

Juniper Junos : versions corrigées pour OpenSSH.
Les versions corrigées sont indiquées dans les sources d'information.

Juniper NSM Appliance : patch pour Upgrade Package v3.
Un patch est disponible :
  http://www.juniper.net/support/downloads/?p=nsm#sw

Junos Space Security Director and Log Collector : version 17.2R1.
La version 17.2R1 est corrigée.

McAfee Network Security Platform : versions corrigées pour OpenSSH.
Les versions corrigées sont indiquées dans les sources d'information.

McAfee Web Gateway : versions 7.5.2.9 et 7.6.2.1.
Les versions 7.5.2.9 et 7.6.2.1 sont corrigées :
  https://kc.mcafee.com/corporate/index?page=content&id=KB56057

NetApp Data ONTAP : patch pour OpenSSH MaxAuthTries.
Un patch est disponible :
  Data ONTAP Edge : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=930626

Oracle Communications : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2410237.1
  https://support.oracle.com/rs?type=doc&id=2406191.1
  https://support.oracle.com/rs?type=doc&id=2410234.1
  https://support.oracle.com/rs?type=doc&id=2408211.1
  https://support.oracle.com/rs?type=doc&id=2406689.1
  https://support.oracle.com/rs?type=doc&id=2408212.1
  https://support.oracle.com/rs?type=doc&id=2410243.1
  https://support.oracle.com/rs?type=doc&id=2410198.1

pfSense : version 2.2.5.
La version 2.2.5 est corrigée :
  https://pfsense.org/download/

RHEL 6.7 : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssh 5.3p1-114.el6_7

RHEL 7 : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  RHEL 7 : openssh 6.6.1p1-22.el7

Solaris : patch pour Third Party (10/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 11 SP3 : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : openssh 6.2p2-0.21.1

Ubuntu : nouveaux paquetages openssh-server.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : openssh-server 1:6.7p1-5ubuntu1.3
  Ubuntu 14.04 LTS : openssh-server 1:6.6p1-2ubuntu2.3
  Ubuntu 12.04 LTS : openssh-server 1:5.9p1-5ubuntu1.7
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des annonces de vulnérabilités applicatives. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.