Vous êtes sur le site public du Cert-IST
Attention aux mauvaises configurations : OpenSSH

Date :27 Juillet 2005

Publication: Article

Attention aux mauvaises configurations : OpenSSH

Il est possible, suite à un mauvais paramétrage des versions d’OpenSSH inférieures à la 2.1.1, d’exposer le système serveur à une compromission des privilèges root via SSH par des utilisateurs non privilégiés.

En effet, le paramètre de configuration UseLogin, positionné par défaut à "no" dans le fichier "/etc/sshd_config", peut être mise à "yes" pour provoquer l’utilisation de login pour les sessions interactives.

Si cet élément de configuration est activé, le lancement d’une commande sur le serveur pourra être réalisé (par l'intermédiaire du client SSH) avec les privilèges du démon SSH, le plus souvent root (sinon la commande login ne peut pas être utilisée).

Il est donc conseillé de vérifier le bon positionnement de la valeur UseLogin à " no " ou de mettre à jour OpenSSH avec la version 2.1.1.