Comment corriger les bogues clients CVE-0216-0777 et CVE-0216-0778 d’OpenSSH en désactivant UseRoaming

Un échange de clé est lancé lorsqu’un client SSH se connecte à un serveur. Une nouvelle fonctionnalité «d’itinérance» incluse dans le client OpenSSH peut être exploitée et un serveur malveillant pourrait utiliser ce problème pour laisser fuir la mémoire du client vers le serveur, y compris les clés utilisateur du client privé.

Ce problème concerne le client OpenSSH (pas le serveur) sur la plupart des systèmes d’exploitation modernes, notamment Linux, FreeBSD et Mac OSX. Ce problème peut également toucher les utilisateurs d’OpenSSH pour Windows, mais pas les utilisateurs de PuTTY sous Windows.

Cela signifie que vous ne devez pas mettre à jour OpenSSH sur votre Droplet (côté serveur), mais vous devez mettre à jour le client OpenSSH sur votre ordinateur local. Si vous souhaitez couvrir toutes vos bases, vous pouvez générer de nouvelles paires de clés et télécharger les nouvelles clés publiques sur vos serveurs (voir l’avant-dernière section pour plus de détails).

Lors du déploiement des correctifs et des mises à jour pour les distributions concernées, la fonctionnalité à l’origine de ce problème de sécurité peut être désactivée manuellement afin de le résoudre. Sur OS X, Linux et les variantes BSD, cela peut être fait en ajoutant une ligne à votre configuration SSH.

Une fois cette opération effectuée, vous devez fermer toutes les sessions SSH ouvertes afin que le changement soit effectif.

Si vous pensez que quelqu’un a obtenu l’accès à vos clés privées avec cette vulnérabilité, ou si vous souhaitez couvrir vos bases «au cas où», vous devriez régénérer toutes vos paires de clés et télécharger les nouvelles clés publiques sur vos serveurs.

OpenSSH: bogue client CVE-0216-0777 et CVE-0216-0778 + http://www.ubuntu.com/usn/usn-2869-1 / [Ubuntu - USN-2869-1: Vulnérabilités OpenSSH]