Faille dans OpenSSH – CVE-2018-15473

Cette faille est une vulnérabilité voir un bug, présent dans OpenSSH depuis 1999 (seulement…).

Cette vulnérabilité repose sur le mécanisme d’authentification par clé publique et permet d’énumérer la liste des utilisateurs existants sur la machine. De quoi simplifier grandement la tâche aux casseurs de mots de passe. En d’autres termes, si vous essayez de vous authentifier sur un serveur linux avec l’identifiant “toto”, le serveur vous dira si l’utilisateur existe ou pas. Pas terrible…

Pour palier à cette vulnérabilité, il suffit de mettre à jour OpenSSH en dernière version via votre gestionnaire de paquet adéquat (yum, apt, …).

Pour rappel, il est très fortement recommandé de ne pas laisser ouvert des administration SSH sur Internet, c’est FORBIDDEN !!! Dans le cas où vous n’ayez pas le choix, sécuriser-le un minimum en changeant le port, en mettant un fail2ban, en désactivant le compte root et surtout, des mots de passe complexes.