{"id":1277600,"date":"2024-08-12T17:35:20","date_gmt":"2024-08-12T19:35:20","guid":{"rendered":"https:\/\/teknomers.com\/fr\/freebsd-publie-un-correctif-urgent-pour-une-vulnerabilite-openssh-de-haute-gravite\/"},"modified":"2024-08-12T17:35:24","modified_gmt":"2024-08-12T19:35:24","slug":"freebsd-publie-un-correctif-urgent-pour-une-vulnerabilite-openssh-de-haute-gravite","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/freebsd-publie-un-correctif-urgent-pour-une-vulnerabilite-openssh-de-haute-gravite\/","title":{"rendered":"FreeBSD publie un correctif urgent pour une vuln\u00e9rabilit\u00e9 OpenSSH de haute gravit\u00e9"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybers\u00e9curit\u00e9 \/ S\u00e9curit\u00e9 des r\u00e9seaux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/FreeBSD-publie-un-correctif-urgent-pour-une-vulnerabilite-OpenSSH-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les responsables du projet FreeBSD ont publi\u00e9 des mises \u00e0 jour de s\u00e9curit\u00e9 pour corriger une faille de haute gravit\u00e9 dans OpenSSH que les attaquants pourraient potentiellement exploiter pour ex\u00e9cuter du code arbitraire \u00e0 distance avec des privil\u00e8ges \u00e9lev\u00e9s.<\/p>\n<p>La vuln\u00e9rabilit\u00e9, suivie comme <strong>CVE-2024-7589<\/strong>porte un score CVSS de 7,4 sur un maximum de 10,0, indiquant une gravit\u00e9 \u00e9lev\u00e9e.<\/p>\n<p>\u00ab Un gestionnaire de signaux dans sshd(8) peut appeler une fonction de journalisation qui n&#8217;est pas s\u00fbre pour les signaux asynchrones \u00bb, selon un avis <a rel=\"nofollow noopener\" href=\"https:\/\/www.freebsd.org\/security\/advisories\/FreeBSD-SA-24:08.openssh.asc\" target=\"_blank\">lib\u00e9r\u00e9<\/a> la semaine derni\u00e8re.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00ab Le gestionnaire de signaux est invoqu\u00e9 lorsqu&#8217;un client ne s&#8217;authentifie pas dans le d\u00e9lai LoginGraceTime (120 secondes par d\u00e9faut). Ce gestionnaire de signaux s&#8217;ex\u00e9cute dans le contexte du code privil\u00e9gi\u00e9 de sshd(8), qui n&#8217;est pas sandbox\u00e9 et s&#8217;ex\u00e9cute avec tous les privil\u00e8ges root. \u00bb<\/p>\n<p>OpenSSH est une impl\u00e9mentation de la suite de protocoles Secure Shell (SSH), fournissant un transport crypt\u00e9 et authentifi\u00e9 pour une vari\u00e9t\u00e9 de services, y compris l&#8217;acc\u00e8s shell \u00e0 distance.<\/p>\n<p>CVE-2024-7589 a \u00e9t\u00e9 d\u00e9crit comme une \u00ab autre instance \u00bb d&#8217;un probl\u00e8me appel\u00e9 regreSSHion (CVE-2024-6387), qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 au d\u00e9but du mois dernier.<\/p>\n<p>\u00ab Le code d\u00e9fectueux dans ce cas provient de l&#8217;int\u00e9gration de blacklistd dans OpenSSH dans FreeBSD \u00bb, ont d\u00e9clar\u00e9 les responsables du projet.<\/p>\n<p>\u00ab En raison de l&#8217;appel de fonctions qui ne sont pas s\u00e9curis\u00e9es pour les signaux asynchrones dans le contexte privil\u00e9gi\u00e9 sshd(8), une condition de concurrence existe qu&#8217;un attaquant d\u00e9termin\u00e9 peut \u00eatre en mesure d&#8217;exploiter pour permettre une ex\u00e9cution de code \u00e0 distance non authentifi\u00e9e en tant que root. \u00bb<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723195626_70_Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Il est fortement conseill\u00e9 aux utilisateurs de FreeBSD de mettre \u00e0 jour vers une version prise en charge et de red\u00e9marrer sshd pour att\u00e9nuer les menaces potentielles.<\/p>\n<p>Dans les cas o\u00f9 sshd(8) ne peut pas \u00eatre mis \u00e0 jour, le probl\u00e8me de condition de concurrence peut \u00eatre r\u00e9solu en d\u00e9finissant LoginGraceTime sur 0 dans \/etc\/ssh\/sshd_config et en red\u00e9marrant sshd(8). Bien que ce changement rende le d\u00e9mon vuln\u00e9rable \u00e0 un d\u00e9ni de service, il le prot\u00e8ge contre l&#8217;ex\u00e9cution de code \u00e0 distance.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/freebsd-releases-urgent-patch-for-high.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 ao\u00fbt 2024\ue804Ravie LakshmananCybers\u00e9curit\u00e9 \/ S\u00e9curit\u00e9 des r\u00e9seaux Les responsables du projet FreeBSD ont publi\u00e9 des mises \u00e0 jour de s\u00e9curit\u00e9 pour corriger une faille de haute gravit\u00e9 dans OpenSSH que les attaquants pourraient potentiellement exploiter pour ex\u00e9cuter du code arbitraire \u00e0 distance avec des privil\u00e8ges \u00e9lev\u00e9s. La vuln\u00e9rabilit\u00e9, suivie comme CVE-2024-7589porte un score CVSS [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1277601,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,4168,32471,4158,6124,129786,11128,11685,238584,200271,238334,98340,144031,185,2212,238617,246491,4172,196,4038,4166,3667,238583],"class_list":["post-1277600","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-correctif","tag-cyber-actualites","tag-cyberattaques","tag-freebsd","tag-gravite","tag-haute","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-openssh","tag-pour","tag-publie","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-une","tag-urgent","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1277600","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1277600"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1277600\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1277601"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1277600"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1277600"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1277600"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}