Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 27.6.2002

OpenSSH-etäyhteysohjelmistosta versio 3.4

OpenSSH-etäyhteysohjelmistosta on ilmestynyt versio 3.4, joka paikkaa edellisistä versioista löytyneen tietoturva-aukon. Uuden paikatun version myötä tietoturvayhtiö ISS on julkaissut aiemmin panttaamansa selvityksen tietoturva-aukosta. Selvityksen mukaan OpenSSH-palvelinohjelmiston haavoittuvuus on challenge-response -autentikointimekanismissa, jota väärinkäyttämällä kräkkereillä on mahdollisuus hankkia pääkäyttäjän oikeudet palvelimelle. Tietoturva-aukko ilmenee kaikissa OpenSSH:n versioissa välillä 2.9.9 ja 3.3.

OpenSSH-ohjelmistoa käytetään monissa BSD- ja Linux-levitysversioissa, joten tietoturva-aukon vaikutukset ulottuvat laajalle. Tietoturva-aukko katkaisee erittäin turvallisena pidetyn OpenBSD-käyttöjärjestelmän yli viiden vuoden putken ilman etäkäyttöhaavoittuvuutta. OpenBSD:n uusi slogan kuuluukin "One remote hole in the default install, in nearly 6 years".

Lue juttu oma, 27.6.2002 00:02. Lähde: OpenSSH.com

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 6 uutta / 6 )
pistettä.
Näytä vain kommentit joilla on vähintään
Ja käännöstä riittää..
Anonyymi kommentoija, 27.6.2002 00:23:31		 Pisteet: 0
Toisen kerran tänään kaikkiin koneisiin ssh uusiksi... No tulipa tehtyä, edellinen oli 3.1.p1. Rasittavaa vaan kun kaikki koneet on eri alustoja, niin käännökset joutuu tekemään joka koneelle.

Sinänsä joskus kaipaa microsoftin hiirellä klikattavia sp:itä ;)
Re: Ja käännöstä riittää..
Anonyymi kommentoija, 27.6.2002 03:30:46		 Pisteet: 0
Toisen kerran tänään kaikkiin koneisiin ssh uusiksi...
mee 2. Huomenna pitäisi sitten hakea ne n+1 päivittämätöntä Linux-purkkia, ja yksi AIX kone .... hrrrr.
Re: Ja käännöstä riittää..
Anonyymi kommentoija, 27.6.2002 11:03:54		 Pisteet: 0
Toisen kerran tänään kaikkiin koneisiin ssh uusiksi...
mee 2. Huomenna pitäisi sitten hakea ne n+1 päivittämätöntä Linux-purkkia, ja yksi AIX kone .... hrrrr.
apt-get update && apt-get dist-upgrade

Get:1 http://security.debian.org stable/updates/main ssh 1:3.4p1-0.0potato1 [643kB]
Preparing to replace ssh 1:3.3p1-0.0potato2 (using .../ssh_1%3a3.4p1-0.0potato1_i386.deb) ...
Unpacking replacement ssh ...
Setting up ssh (3.4p1-0.0potato1) ...
Restarting OpenBSD Secure Shell server: sshd.
Re: Ja käännöstä riittää..
Anonyymi kommentoija, 27.6.2002 11:29:42		 Pisteet: 0
Toisen kerran tänään kaikkiin koneisiin ssh uusiksi...
mee 2. Huomenna pitäisi sitten hakea ne n+1 päivittämätöntä Linux-purkkia, ja yksi AIX kone .... hrrrr.
apt-get update && apt-get dist-upgrade
Get:1 http://security.debian.org stable/updates/main ssh 1:3.4p1-0.0potato1 [643kB]
Preparing to replace ssh 1:3.3p1-0.0potato2 (using .../ssh_1%3a3.4p1-0.0potato1_i386.deb) ...
Unpacking replacement ssh ...
Setting up ssh (3.4p1-0.0potato1) ...
Restarting OpenBSD Secure Shell server: sshd.
Kyllähän Debianilla on aina kriittiset sovellukset päivittyneet yllättävän nopeasti, mutta kokonaisuutena päivittyvyys on ihmeen heikkoa. Miten on GNOME2, joko onnistuu apt-get gnome2?

Jätin aamulla koneen kääntelemään gnome2:ta:

emerge gnome

Siitäkin oli ystävällisesti pistetty aamulla sähköpostia (04:59), että nyt on saatavilla. Tosin eihän se ole vaikea katsoa mitkä paketit ovat päivittyneet:

emerge --clean sync
emerge -up world
hanta Re: Ja käännöstä riittää..
hanta, 27.6.2002 15:46:41		 Pisteet: 0

Kyllähän Debianilla on aina kriittiset sovellukset päivittyneet yllättävän nopeasti, mutta kokonaisuutena päivittyvyys on ihmeen heikkoa.
kyllähän nuo openssh-päivitykset olivat gentoollekin saman tien saatavilla.

Jätin aamulla koneen kääntelemään gnome2:ta: emerge gnome
sama juttu, ja nyt se on asentunutkin jo kahdelle koneelle. nyt ei vain malttaisi enää istua töissä... kiire testailemaan :)

tosin minulla tuo oli:
emerge unmerge gnome-core
emerge --update world

kun pistin samalla sen viimeisimmän openssh-paketin jota en viitsinyt silloin heti laittaa,
ja taisi geditkin mennä uusiksi...

--
hanta
--
hanta
heko 2.3.1-3.3
heko, 27.6.2002 12:27:32		 Pisteet: +2

Friedl päivitti tiedotteen.

"Lue juttu"-linkistä yltä selviää, että tietoturva-aukkoja on kaksi, ja ne ilmenevät versioissa välillä 2.3.1-3.3.

CERTin tiedote on laajempi, listaa myös muita vendoreita, sekä lyhyen tähtäimen ratkaisuja:

http://www.cert.org/advisories/CA-2002-18.html>
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi