-----Original Message-----
From: Opscen (OCIPEP / GEOCC) [mailto:[EMAIL PROTECTED]]
Sent: 16 December 2002 23:09
To: OCIPEP EXTERNAL DISTRIBUTION LISTS
Subject: OCIPEP AV02-053
La version fran�aise suit
THE OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY
PREPAREDNESS
*****************
ADVISORY
*****************
Number: AV02-053
Date: 16 Dec 2002
***********************************************
Multiple Vulnerabilities in SSH Implementations
***********************************************
PURPOSE
This advisory brings attention to the CERT/CC ADVISORY CA-2002-36 which
reports that multiple vendors' implementations of the secure shell (SSH)
transport layer protocol contain vulnerabilities that could allow a
remote
attacker to execute arbitrary code with the privileges of the SSH
process or
cause a denial of service.
ASSESSMENT
The SSH protocol enables a secure communications channel from a client
to a
server. The impact will vary for different vulnerabilities and products,
but
in severe cases, remote attackers could execute arbitrary code with the
privileges of the SSH process. Both SSH servers and clients are
affected,
since both implement the SSH transport layer protocol.
SUGGESTED ACTION
Please refer to <http://www.cert.org/advisories/CA-2002-36.html> for
complete details.
CONTACT US
For urgent matters or to report any incidents, please contact OCIPEP's
Emergency Operations Centre at:
Phone: (613) 991-7000
Fax: (613) 996-0995
Secure Fax: (613) 991-7094
Email: [EMAIL PROTECTED]
For general information, please contact OCIPEP's Communications Division
at:
Phone: (613) 944-4875 or 1-800-830-3118
Fax: (613) 998-9589
Email: [EMAIL PROTECTED]
Web Site: www.ocipep-bpiepc.gc.ca
NOTICE TO READERS
When the situation warrants, OCIPEP issues Advisories to communicate
information about potential, imminent or actual threats, vulnerabilities
or
incidents assessed by OCIPEP as limited in scope but having possible
impact
on the Government of Canada or other sectors of Canada's critical
infrastructure. Recipients are encouraged to consider the real or
possible
impact on their organization of the information presented in the
Advisory,
and to take appropriate action.
The information in this OCIPEP Advisory has been drawn from a variety of
external sources. Although OCIPEP makes reasonable efforts to ensure the
accuracy, currency and reliability of the content, OCIPEP does not offer
any
guarantee in that regard.
Unauthorized use of computer systems and mischief in relation to data
are
serious Criminal Code offences in Canada. Upon conviction of an
indictable
offence, an individual is liable to imprisonment for a term not to
exceed
ten years. Any suspected criminal activity should be reported to local
law
enforcement organizations. The RCMP National Operations Centre (NOC)
provides a 24/7 service to receive such reports or to redirect callers
to
local law enforcement organizations. The NOC can be reached at (613)
993-4460. National security concerns should be reported to the Canadian
Security Intelligence Service (CSIS).
==================================================
LE BUREAU DE LA PROTECTION DES INFRASTRUCTURES ESSENTIELLES ET DE LA
PROTECTION CIVILE
************************
AVIS DE S�CURIT�
************************
Num�ro: AV02-053
Date: 16 Decembre 2002
******************************************************
Vuln�rabilit�s multiples li�es � l'implantation du SSH
******************************************************
OBJET
Le pr�sent avis de s�curit� attire votre attention sur l'avis CA-2002-36
du
CERT/CC qui signale que de multiples protocoles d'implantation de
vendeurs
de la couche de transport de secure shell (SSH) comportent des failles
qui
pourraient permettre � un intrus d'ex�cuter � distance des codes
arbitraires
� l'aide des privil�ges du processus SSH ou provoquer un d�ni de
service.
�VALUATION
Le protocole SSH permet d'�tablir une voie de communication s�curis�e
d'un
client � un serveur. L'impact pourra varier selon les vuln�rabilit�s et
les
produits, mais dans les cas graves, les intrus pourraient ex�cuter �
distance des codes arbitraires avec les privil�ges du processus SSH. Les
serveurs et les clients SSH sont �galement touch�s, puisque les uns et
les
autres implantent le protocole de couche de transport SSH.
MESURE PROPOS�E
Pour de plus amples renseignements, veuillez consulter
http://www.cert.org/advisories/CA-2002-36.html.
COMMENT COMMUNIQUER AVEC NOUS
En cas de questions urgentes, ou pour signaler des incidents, veuillez
communiquer avec le Centre des op�rations d'urgence du BPIEPC au :
T�l�phone : (613) 991-7000
T�l�copieur : (613) 996-0995
T�l�copieur s�curitaire : (613) 991-7094
Courriel : [EMAIL PROTECTED]
Pour obtenir des renseignements g�n�raux, veuillez communiquer avec la
Division des communications du BPIEPC au :
T�l�phone : (613) 944-4875 ou 1-800-830-3118
T�l�copieur : (613) 998-9589
Courriel : [EMAIL PROTECTED]
Site Web : www.bpiepc-ocipep.gc.ca
AVIS AUX DESTINATAIRES
Les avis de s�curit� �mis par le BPIEPC visent � renseigner les
destinataires au sujet de menaces possibles, imminentes, ou r�elles, de
vuln�rabilit�s ou d'incidents, �valu�s par le BPIEPC comme �tant d'une
port�e limit�e, mais ayant des r�percussions possibles sur le
gouvernement
du Canada ou sur certains secteurs des infrastructures essentielles. Les
avis de s�curit� peuvent contenir des renseignements et des analyses non
disponibles dans le domaine public. Les destinataires sont pri�s
d'examiner
les r�percussions r�elles et possibles des renseignements pr�sent�s sur
leurs organisations et de prendre les mesures n�cessaires.
Les renseignements pr�sent�s dans les avis de s�curit� du BPIEPC sont
tir�s
d'un �ventail de sources. Bien que le BPIEPC d�ploie des efforts
raisonnables afin de s'assurer de l'exactitude, de l'actualit� et de la
fiabilit� du contenu des avis de s�curit�, il ne peut offrir aucune
garantie
� cet �gard.
L'utilisation non autoris�e des syst�mes informatiques et les dommages
relatifs aux donn�es constituent une faute grave au Code criminel
canadien.
Si une personne est trouv�e coupable d'une telle faute, elle est
passible d'
emprisonnement pour une p�riode n'exc�dant pas dix ans. Toute activit�
criminelle pr�sum�e doit �tre signal�e imm�diatement � un organisme d'
application de la loi local. Le Centre national des op�rations (CNO) de
la
GRC est disponible tous les jours, 24 heures sur 24, pour recevoir de
tels
rapports ou pour r�acheminer les appels aux organismes locaux
d'application
de la loi. Vous pouvez rejoindre le CNO au (613) 993-4460. Les
pr�occupations portant sur la s�curit� nationale doivent �tre signal�es
au
Service canadien du renseignement de s�curit� (SCRS).
IWS INFOCON Mailing List
@ IWS - The Information Warfare Site
http://www.iwar.org.uk
