Nouveau bulletin de sécurité : IBM i Access Client Solutions est vulnérable à un attaquant distant qui contourne les contrôles d’intégrité dans Apache Mina SSHD Common. Apache MINA SSHD est une bibliothèque Java 100% pure qui supporte les protocoles SSH du côté client et du côté serveur, elle est utilisé par la fonctionnalité Open Source Package Manager d’IBM i Access Client Solutions lors de l’authentification au serveur IBM i.
OpenSSH est vulnérable à une attaque de type machine-in-the-middle, causée par une faille dans le processus de négociation d’extension dans le protocole de transport SSH lorsqu’il est utilisé avec certaines extensions OpenSSH. Un attaquant distant peut alors exploiter cette vulnérabilité afin de lancer son attaque et dépouiller un nombre arbitraire de messages après l’échange initial de clés, rompant ainsi la négociation de l’extension SSH et dégradant la sécurité de la connexion du client.
Afin de corriger cette faille il vous suffit de mettre à jour l’ACS avec la dernière version sortie (version 1.1.9.5 minimum).
Le score CVSS de cette faille est de base 5.9 et vous pouvez retrouver ses détails en cliquant sur le lien ci-dessous :
https://lnkd.in/ejgJR3UN
