Hul i Openssh

Den forrrige udgave af open source-biblioteket Openssh, som implementerer den krypterede terminalprotokol SSH, indeholder et sikkerhedshul, og det kan også gælde andre udgaver af SSH.

Forskere fra University of London i England har fundet et hul i den forrige udgave af SSH-biblioteket Openshh, som implementerer netværksprotokollen SSH.

Det er er en sikker pendent til Telnet-protokollen, som giver fjernadgang til computerterminaler og også benyttes i andre sammenhænge. Opdagelsen blev fremlagt på en sikkerhedskonference i USA mandag.

Fejlen findes ikke i den nuværende udgave 5.2, som brugerne opfordres til at opgraderes til, hvis de ikke allerede har gjort det.

Hullet udnytter små forskelle i den måde, SSH-biblioteker reagerer på, når det støder på fejl undervejs i den kryptografiske proces. Det skriver The Register.

Ved at sende manipulerede pakker til et program, som bruger biblioteket, har angriberen en chance på én til 262.144 for at afkode 32 bits fra en vilkårlig del af den krypterede strøm af data.

Det lyder som en meget lille chance, men ifølge forskerne kan det stadig udgøre en alvorlig sikkerhedsrisiko i programmer, som bruger biblioteket. Eksempelvis prøver VPN-forbindelser gentagne gange at genoptage forbindelsen med en server, når denne forbindelse glipper. Hvis det sker flere gange i sekundet kan en angriber måske få mulighed for at få succes med sit forehavende.

Forskerholdet fra University of London testede imod Openshh, som ligger bag langt de fleste SSH-baserede programmer, skriver The Register, men holdet mener, at fejlen også findes i andre implementeringer af SSH.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere