Les responsables d’OpenSSH ont publié OpenSSH 9.2 pour corriger un certain nombre de bogues de sécurité, y compris une vulnérabilité de sécurité de la mémoire dans le serveur OpenSSH.
Identifiée sous le nom de CVE-2023-25136, cette faille a été classée comme une vulnérabilité de pré-authentification doublement libre qui a été introduite dans la version 9.1.
C’est le chercheur en sécurité Mantas Mikulenas qui a signalé la faille à OpenSSH en juillet 2022.
Les failles de type « double free » surviennent lorsqu’un élément de code vulnérable appelle deux fois la fonction free(), qui est utilisée pour désallouer des blocs de mémoire, ce qui entraîne une corruption de la mémoire qui, à son tour, peut provoquer un plantage ou l’exécution d’un code arbitraire.
Si la vulnérabilité « double-free » de la version 9.1 d’OpenSSH peut susciter des inquiétudes, il est essentiel de noter que l’exploitation de ce problème n’est pas une tâche simple », a expliqué M. Abbasi.
Il est recommandé aux utilisateurs de mettre à jour OpenSSH 9.2 afin d’atténuer les menaces potentielles pour la sécurité.