Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Sunnuntai, 22.7.2001

SSH Secure Shell 3.0.0 -ohjelmistossa paha tietoturvareikä

Suomalaisen SSH Communications Securityn SSH Secure Shell 3.0.0 -tuotteen unix-versiosta on löytynyt vakava tietoturvareikä. Ohjelmistossa on virhe, jonka vuoksi ohjelma hyväksyy minkä tahansa salasanan, jos käyttäjätunnuksen liittyvässä salasanassa on vähemmän kuin kolme merkkiä. Koska unix-järjestelmissä on yleensä järjestelmän toiminnan kannalta tärkeitä tunnuksia, joille ei tarvitse määritellä salasanaa, avaa SSH:n bugi ovet kräkkereille. SSH suositteleekin kaikkia asiakkaitaan päivittämään ohjelmistonsa versioon 3.0.1, jossa bugi on korjattu.

SSH ilmoitti itse tietoturvariskistä Bugtraq-posituslistalla, mutta ainakaan toistaiseksi yrityksen kotisivuilla ei asiasta ole mainintaa. SSH:lle bugista ilmoittivat nimetön ylläpitäjä TKK:lta sekä Andrew Newman Yalen yliopistosta. Nyt löytynyt tietoturvareikä ei vaivaa kilpailevaa OpenSSH-ohjelmistoa.

Lue juttu oma, 22.7.2001 21:31. Lähde: SecurityFocus

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 9 uutta / 9 )
pistettä.
Näytä vain kommentit joilla on vähintään
Joo..
Anonyymi kommentoija, 22.7.2001 23:05:28		 Pisteet: 0
Eikä vaivaa SSH:n aikaisempia versioita..

ja OpenSSH tulee aikalailla perässä verrattuna 3.0:aan.
äölk Re: Joo..
äölk, 22.7.2001 23:27:57		 Pisteet: 0
ja OpenSSH tulee aikalailla perässä verrattuna 3.0:aan.
Mitäkähän sellaista tarpeellista SSH 3.0:ssa sitten on mitä OpenSSH:ssa ei ole? Tai mitä siinä yleensä edes on alkuperäiseen SSH:n niin uutta ja hienoa (sftp:tä ei lasketa)?
Minä ainakin vaihdoin heti siinä vaiheessa SSH 1.2:sta OpenSSH:n kun SHH Comm. Corp alkoi heitä uhkailemaan tavaramerkeillänsä.
Re: Joo..
Anonyymi kommentoija, 23.7.2001 07:48:33		 Pisteet: 0
ja OpenSSH tulee aikalailla perässä verrattuna 3.0:aan.
Mitäkähän sellaista tarpeellista SSH 3.0:ssa sitten on mitä OpenSSH:ssa ei ole? Tai mitä siinä yleensä edes on alkuperäiseen SSH:n niin uutta ja hienoa (sftp:tä ei lasketa)?
Minä ainakin vaihdoin heti siinä vaiheessa SSH 1.2:sta OpenSSH:n kun SHH Comm. Corp alkoi heitä uhkailemaan tavaramerkeillänsä.
PKI ja SmartCard. Esimerkiksi.
Re: Joo..
Anonyymi kommentoija, 23.7.2001 09:52:18		 Pisteet: 0
Minä ainakin vaihdoin heti siinä vaiheessa SSH 1.2:sta OpenSSH:n kun SHH Comm. Corp alkoi heitä uhkailemaan tavaramerkeillänsä.
Kommenttina, mielestäni SSH & Ylönen tekevät ihan oikein kun pitävät kiinni rekisteröidystä, mainostamastaan ja omistamastaan tavaramerkistä. OpenSSH:lle nimenvaihto tuskin kovin suurta tuskaa tuottaisi.. ja ssh kun vielä sattuu olemaan Ylösen 'lapsi'.
äölk Re: Joo..
äölk, 23.7.2001 17:45:37		 Pisteet: 0
Kommenttina, mielestäni SSH & Ylönen tekevät ihan oikein kun pitävät kiinni rekisteröidystä, mainostamastaan ja omistamastaan tavaramerkistä.
Mutta kun SSH on samalla standardoitavan protokollan nimi ja yleisesti käytössä, joten tässä on jokin ristiriita. Vähän sama kuin joku patentoisi kirjainyhdistelmän FTP. Lisäksi saattoi olla, että se tavaramerkki olikin tosiasiassa vain siihen logoon.
ssundell Re: Joo..
ssundell, 24.7.2001 08:22:59		 Pisteet: 0
Kommenttina, mielestäni SSH & Ylönen tekevät ihan oikein kun pitävät kiinni
rekisteröidystä, mainostamastaan ja
omistamastaan tavaramerkistä.
Periaatteessa näin. Käytännössä asia on tietenkin huomattavasti monimutkaisempi...

Mutta kun SSH on samalla standardoitavan protokollan nimi ja yleisesti käytössä,
Eli tämä. Tosin tarkkaanottaen tämä ei pidä kokonaan paikkansa, sillä IETF muutti Ylösen pyynnöstä standardiviritelmänsä nimen secsh:ksi - sen jälkeen, kun SSH ensin oli uhkaillut OpenSSH:ta.

Yleisessä käytössä yhdistelmä sen sijaan on, eikä mikään ihme. Perusongelma on toimintamallissa - vapaasti levitetty ja lisensoitu softa muutettiin suljetummaksi. Siinä sivussa sen nimi rekisteröitiin tavaramerkiksi.

OpenSSH käytti kehittelyn pohjana viimeistä vapaalla lisenssillä julkaistua versiota. Kyseisessä sorsapaketissa Ylönen toteaa "ette viittis olla käyttämättä ssh- tai Secure Shell -nimitystä _epäyhteensopivista_ versioista".

Lisäksi saattoi olla, että se tavaramerkki olikin tosiasiassa vain siihen logoon.
Tämähän on helposti tarkastettu, niin Jenkkien kuin Suomenkin tavaramerkkitietokannat löytyy netistä.

Suomessa on rekisteröity kirjainyhdistelmä "ssh". Haettu maaliskuussa 1996, myönnetty marraskuussa 1996.

Jenkeissä puolestaan on rekisteröity "ssh" "in stylized form". Haettu elokuussa 1996, rekisteröity maaliskuussa 1998.

USA:n tavaramerkkirekisteröintiinhän tuo kiista on pääosin keskittynyt. Eri asia on, onko sille mitään perusteita. OpenBSD ja OpenSSH ovat sangen laajalle levinneitä projekteja, ja koko hässäkän koordinaattoripomomies, Theo de Raadt, puolestaan on kanadalainen. Kanadassa taas tuota tavaramerkkiä ei ole rekisteröity, ja rekisteröimättömän tavaramerkin suoja taas tuppaa olemaan vähän tulkinnanvaraista.

Jos ei muuta, on tässä kohtaa ainakin hyvä miettiä, onko USA sittenkään koko maailma.
kettu Re: Joo..
kettu, 23.7.2001 07:45:26		 Pisteet: 0
Mitäkähän sellaista tarpeellista SSH 3.0:ssa sitten on mitä OpenSSH:ssa ei ole? Tai mitä siinä yleensä edes on alkuperäiseen SSH:n niin uutta ja hienoa (sftp:tä ei lasketa)?
Kyllä toi sftp tulee openssh:n mukanakin, jos semmosta nyt joku haluu edes käyttää.
Re: Joo..
Anonyymi kommentoija, 23.7.2001 10:31:26		 Pisteet: 0
Kyllä toi sftp tulee openssh:n mukanakin, jos semmosta nyt joku haluu edes käyttää.
Ja MIKSI EI haluaisi käyttää?

Meidän putiikissa ei ainakaan ole eikä tule olemaan suojaamattomia FTP-yhteyksiä mahdollistavaa palvelinta.
Re: Joo..
Anonyymi kommentoija, 23.7.2001 10:37:16		 Pisteet: 0
Kyllä toi sftp tulee openssh:n mukanakin, jos semmosta nyt joku haluu edes käyttää.
Ja MIKSI EI haluaisi käyttää?
Meidän putiikissa ei ainakaan ole eikä tule olemaan suojaamattomia FTP-yhteyksiä mahdollistavaa palvelinta.
Jos vaikkapa tiedostoja siirretään sen verran vähän/harvoin, että scp riittää mainiosti?