🔐 OpenSSH : correctifs manuels et automatiques pour la vulnĂ©rabilitĂ© critique CVE-2024-6387 đŸ›Ąïž

OpenSSH a publiĂ© le 1er juillet 2024 un avis de sĂ©curitĂ© concernant une vulnĂ©rabilitĂ© critique rĂ©fĂ©rencĂ©e CVE-2024-6387. OpenSSH constitue un ensemble d’outils libres qu’il est possible d’utiliser pour Ă©tablir des connexions sĂ©curisĂ©es entre deux. OpenSSH est installĂ© sur des millions de serveurs.

DĂ©couverte par les chercheurs en sĂ©curitĂ© de Qualys, qui ont nommĂ© cette faille de sĂ©curitĂ© « regreSSHion », elle prĂ©sente la caractĂ©ristique de permettre Ă  un attaquant non authentifiĂ© d’exĂ©cuter du code arbitraire Ă  distance avec les privilĂšges root sur les machines Ă©quipĂ©es d’une distribution Linux. OpenBSD n’est pas concernĂ© par cette vulnĂ©rabilitĂ© car cet OS comporte un mĂ©canisme de sĂ©curitĂ© destinĂ© Ă  prĂ©venir cette faille.

Les versions d’OpenSSH comprises entre les versions 8.5p1 et 9.7p1, ainsi que les versions antĂ©rieures Ă  la version 4.4p1, sont vulnĂ©rables Ă  cette faille.

Pour vĂ©rifier votre version d’OpenSSH, utilisez cette commande :

ssh -V

En attendant la disponibilité de correctifs, Qualys a conseillé de modifier la valeur de LoginGraceTime à 0 dans le fichier de configuration.

Le fichier de configuration d’OpenSSH Server est accessible avec ce chemin :

/etc/ssh/sshd_config

Ubuntu vient de procĂ©der Ă  la diffusion d’un correctif. D’autres distributions Linux proposent progressivement des correctifs.

Il est essentiel de maintenir la sĂ©curitĂ© de vos systĂšmes informatiques en assurant que vos logiciels sont rĂ©guliĂšrement mis Ă  jour avec les derniers patchs de sĂ©curitĂ© et correctifs disponibles. La vulnĂ©rabilitĂ© CVE-2024-6387 dans OpenSSH met en Ă©vidence l’importance cruciale de ces mesures prĂ©ventives. En appliquant rapidement les correctifs fournis par les fournisseurs de logiciels et en surveillant activement les avis de sĂ©curitĂ©, vous pouvez rĂ©duire considĂ©rablement le risque d’exploitation par des cyberattaquants. Veiller Ă  la sĂ©curitĂ© informatique n’est pas seulement une bonne pratique, c’est une nĂ©cessitĂ© pour protĂ©ger vos donnĂ©es et assurer la continuitĂ© de vos opĂ©rations.