Warning: Undefined array key "scheme" in /home/linuxo/www/www/wp-includes/canonical.php on line 749

Warning: Undefined array key "host" in /home/linuxo/www/www/wp-includes/canonical.php on line 714

Warning: Undefined array key "host" in /home/linuxo/www/www/wp-includes/canonical.php on line 725

Warning: Undefined array key "host" in /home/linuxo/www/www/wp-includes/canonical.php on line 728

Warning: Undefined array key "scheme" in /home/linuxo/www/www/wp-includes/canonical.php on line 749
Kaжи Да и сва су ти SSH врата отворена - linuxo.org

Kaži Da i sva su ti SSH vrata otvorena

Podeli preko

Sigurnosni propust koji je otkriven u libssh SSH bilioteci za proveru identiteta – autentikaciju će propustiti bilo koga ko kaže da se uspešno prijavio. I to bez obzira da li zaista jeste ili nije. Usled greške u kodu tokom proseca autentikacije koji obično počinje sa SSH2_MSG_USERAUTH_REQUEST sve je u redu. Ali ako se pošalje SSH2_MSG_USERAUTH_SUCCESS server je to uzimao kao dokaz da je korisnik uspešno prijavljen. Ljudi koji rade na razvoju ovog koda su već izbacili ipspravke sa novim verzijama libssh 0.8.4 ili 0.7.6, a koje se mogu preuzeti ovde.
Potrebno je ažurirati samo serverske instalacije, a na klijentskoj strani to nije potrebno.

Srećom, iako potencijalno veoma opasan bag, jer je otkriven u verziji 0.6.0, koja je objavljena još januara 2014. godine.  Očigledno nije bilo zlonamernih upada. Posebno srećno, jer većina servera, IoT uređaja i ličnih računara koristi openssh umesto libssh za implementaciju SSH protokola. Sa druge strane, neki od velikih korisnika, poput github-a, koriste sopstvenu prilagođenu implementaciju koja ne uključuje SSH2_MSG_USERAUTH_SUCCESS, i samim tim nisu bili ugroženi ovim propustom. Sam propust je otkrio Piter Vinter-Smit (Peter Winter-Smith), istraživač iz kompanije NCC.