OpenSSH continue de faire l’actualité, à son détriment. Parmi les multiples nouveaux trous de sécurité qui décorent les versions 3.7p1 et 3.7.1p1 (et uniquement celles-là), l’un d’entre-eux au moins est exploitable à distance.
Ces nouvelles failles se trouvent toutes dans le nouveau code PAM flambant neuf de cette nouvelle version. Pas de bol.
Pas d’affolement cependant, l’exploitation n’est possible que dans une configuration non standard (avec la séparation des privilèges désactivée).
Il est tout de même recommandé d’upgrader rapidement vers la version 3.7.1p2.
Comme il s’agit de la version portable, OpenBSD n’est pas affecté. Mac OS X non plus, y compris dans sa dernière mise à jour 10.2.8 qui contient une version 3.4 patchée.
Tous les autres Unix-like récents utilisant OpenSSH sont à priori concernés.