OpenSSH, de gratis en meest gebruikte implementatie van het SSH protocol, heeft een nieuwe versie uitgebracht die een ernstig beveiligingslek verhelpt waardoor aanvallers versleutelde sessies konden lezen. Ondanks de ernst van de kwetsbaarheid, was de kans op een succesvolle aanval zeer klein. Secure Shell is een network protocol dat data tussen twee apparaten op een veilige manier uitwisselt. Een ontwerpfout in de SSH specificatie zorgde ervoor dat een aanvaller die controle over het netwerk heeft, 32bits aan platte tekst van een SSH-beveiligde verbinding kon achterhalen. Een voorwaarde was wel dat men de standaard configuratie van SSH gebruikte.
Als oplossing is de standaard cipher order aangepast en gebruikt men voortaan AES CTR modes en de aangepaste "arcfour256" mode, in plaats van de CBC mode ciphers die kwetsbaar voor de beschreven aanval zijn. Daarnaast zijn er ook andere beveiligingsmaatregelen toegevoegd om bovengenoemd scenario te voorkomen. Tevens zijn er zes nieuwe features toegevoegd en meer dan tien bugs en andere problemen verholpen. OpenSSH 5.2 is binnenkort via openssh.com te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.