OpenSSH 7.1p2 z usuniętą podatnością CVE-2016-0777, podobną do Heartbleed

0
893
OpenSSH
OpenSSH

Ogłoszono wydanie OpenSSH 7.1p2, wolnej implementacji protokołu SSH (Secure Shell), który zapewnia szyfrowaną komunikację pomiędzy komputerami. Program dostępny jest na licencji BSD oraz działa na wielu systemach operacyjnych. Usunięto wykrytą podatność CVE-2016-0777, która okazała się niezwykle podobna do tzw. ataku Heartbleed. Błąd znajduje się po stronie klienta i pozwalał na wyciągnięcie prywatnych kluczy na specjalnie spreparowany prywatny serwer.

Od wersji OpenSSH 5.4 klient wspiera nieudokumentowaną funkcję zwaną roaming. Jeżeli połączenie do serwera SSH zostanie niespodziewanie zerwane, a serwer wspiera także roaming, to klient spróbuje się ponownie podłączyć i przywrócić utraconą sesje. Roaming jest domyślnie włączony na kliencie OpenSSH, nawet jeżeli serwer OpenSSH nie wspiera tej funkcji.

Jak wspomnieliśmy na początku, błąd jest bardzo podobny do ataku Heartbleed, który został wykryty w bibliotece OpenSSL. W przypadku Heartbleed dowolna osoba z odpowiednimi umiejętnościami komputerowymi, mogła włamać się na dowolną stronę, przy użyciu OpenSSL. W przypadku CVE-2016-0777 wykradnięcie prywatnych kluczy może mieć miejsce tylko, jeżeli użytkownik końcowy podłączy się do specjalnie spreparowanego serwera.

Poprzedni artykułnVidia stworzyła superkomputer DRIVE PX 2 dla samochodów, który działa na Linuksie
Następny artykułSabayon udostępniony dla minikomputera Raspberry Pi 2 Model B
Michał Olber
Interesuję się głównie sprzętem i działaniem jego pod systemami GNU/Linux. Testuję różne dystrybucje i robię recenzje. Interesuję się działaniem sprzętu pod Linuksem, dzięki czemu wiem, jaki zestaw komputerowy wybierać :)

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj