Rygter om kritisk sårbarhed i OpenSSH under Red Hat Linux

Udviklerne af Red Hat Enterprise Linux har ved en fejl implementeret en sårbarhed i den krypterede netværkssoftware OpenSSH 4.3. Det siger rygter på internettet, og Red Hat overvåger situationen nøje.

Der verserer lige nu rygter på internettet om en kritisk sårbarhed i OpenSSH 4.3 under distributionen Red Hat Enterprise Linux, skriver The H Security.

Ifølge rygtet har Red Hat-udviklerne utilsigtet implementeret sårbarheden ved at patche OpenSSH 4.3 for at holde den opdateret, frem for at opdatere til senere versioner af OpenSSH, der lige nu er i version 5.2.

Sårbarheden kan give uautoriseret serveradgang, skriver The H Security.

OpenSSH er en open source-implementering af den proprietære og sikre netværksprotokol SSH.

Pakken indeholder flere værktøjer til krypteret netværkskommunikation, blandt andet værktøjerne ssh og scp, som henholdsvis logger ind og kopierer filer sikkert til en anden maskine.

OpenSSH 4.3 er en ældre sag med flere år på bagen, hvilket kan berolige brugere, der har opdateret til en af de senere versioner.

Men for brugere af Red Hat Enterprise Linux og Centos kan det være et problem, hvis rygterne om en sårbarhed viser sig at holde stik.

Udviklerne af Red Hat Enterprise Linux har nemlig for vane at portere patches bagud til ældre versioner af software og dermed løbende holde den opdateret uden at skifte versionsnummer.

En af brugerne på forummet Web Hosting Talk, hvor rygterne blev sat i søen, har postet versionsnumrene på OpenSSH under Centos, som er baseret på Red Hat Enterprise Linux.

Der er tale om patchede udgaver af OpenSSH 4.3:

root@corp [~]# rpm -qa |grep openssh
openssh-clients-4.3p2-29.el5
openssh-4.3p2-29.el5
openssh-server-4.3p2-29.el5

The H Securitys tyske gren, Heise, har bedt Red Hat om udtalelse. Indtil videre har Red Hat ikke villet bekræfte sårbarheden, men virksomheden udtaler, at man er bekendt med rygterne og holder øje med situationen.

Flere steder på nettet er der desuden rapporteret om angreb på blandt andet siderne ssanz.net og astalavista.com, hvilket kan pege i retning af en 'zero-day'-sårbarhed i bestemte versioner af SSH, skriver The H Security.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Norgaard

fra Morten?

Manchet (tvivlsom påstand først, senere afklaring af at det er et rygte): "Udviklerne af Red Hat Enterprise Linux har ved en fejl implementeret en sårbarhed i den krypterede netværkssoftware OpenSSH 4.3. Det siger rygter på internettet, og Red Hat overvåger situationen nøje."

Artikel (præsentation af et rygte): "Der verserer lige nu rygter på internettet om en kritisk sårbarhed i OpenSSH 4.3 under distributionen Red Hat Enterprise Linux, skriver The H."

Hvorfor er overskrifterne konsekvent fordrejede og ringere end selve artiklerne??

  • 0
  • 0
Peter Makholm

Vrøvl. Både overskrift, manchetten og selve artiklen kalder klart påstanden for rygter. Der er intet fordrejende ved overskriften og den er tro mod både artiklen og den virkelighed den viderbrigner.

At virkeligheden siden onsdag klokken 10 så har ændret sig gør det ikke tvingende nødvendigt at retconne artiklen. Men måske skulle redaktionen sørge for at der kom en opdatering hvis afvisningen fra Alexanders link holder vand.

Iøvrigt er det Mikkel og ikke Morten der har skrevet artiklen.

  • 0
  • 0
Anders Norgaard

Hej Peter,

Mit indlæg giver (måske/forhåbentlig) mere mening i sammenhæng med de tidligere indlæg hvor jeg har spurgt til overskrifter som virker fordrejede i forhold til selve artiklerne

http://www.version2.dk/artikel/11208-ekspert-windows-7-uden-browser-er-e...

http://www.version2.dk/artikel/11277-microsoft-haaner-usikre-firefox-og-...

og hvor Morten har forklaret at han skriver overskrifter på artikler andre har skrevet.

Jeg kan godt se at her er overskriften "Rygter om kritisk sårbarhed i OpenSSH under Red Hat Linux" klar. Til gengæld synes jeg at mancheten (med sin rygte-påstand i første sætning og først i næste sætning afklaring) er væsentlig dårligere end artiklens første linier. Måske flueknepper jeg?

Men jeg synes stadig det er interessant om Morten også skriver mancheterne. Så kan man jo selv bedømme om mancheten er bedre end Mikkels første linier.

VH
Anders

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Der verserer lige nu rygter på internettet om en kritisk sårbarhed i OpenSSH 4.3 under distributionen Red Hat Enterprise Linux, skriver The H Security. Ifølge rygtet har Red Hat-udviklerne utilsigtet implementeret sårbarheden ved at patche OpenSSH 4.3 for at holde den opdateret, frem for at opdatere
til senere versioner af OpenSSH, der lige nu er i version 5.2. Sårbarheden kan give uautoriseret serveradgang, skriver The H Security. OpenSSH er en open source-implementering af den proprietære og sikre netværksprotokol SSH. Pakken indeholder flere værktøjer til krypteret netværkskommunikation, blandt andet værktøjerne ssh og scp, som henholdsvis logger ind og kopierer filer sikkert til e...