ISS maakt lek in OpenSSH bekend
Na eerdere berichtgeving over een mogelijk lek in OpenSSH kwam woensdag de aap uit de mouw van ISS: het ISS X-Force team vond een fout in het deel van OpenSSH wat "challenge-response" authenticatie afhandelt. Hierdoor is het voor een buitenstaander mogelijk de OpenSSH server te laten crashen of in het ergste geval de machine over te nemen. ISS raadt aan om deze optie (tijdelijk) uit te schakelen en zowel ISS als de bouwers van OpenSSH raden aan om de nieuwe functie "Privilege Separation" aan te zetten in OpenSSH. Security.nl raadt verder aan om toegang tot de ssh poort altijd zoveel mogelijk af te schermen door middel van een firewall of TCP wrappers.
Pas op maandag 1 juli zal OpenSSH 3.4 verschijnen waar het lek volledig uit verwijderd is, des te vreemder dat ISS nu al bekend maakt waar het probleem precies zit. ISS maakte zich vorige week ook al niet al te geliefd met een te vroegtijdige berichtgeving over een lek in Apache
UPDATE: Ondanks het feit dat op de website van OpenSSH nog wordt gemeld dat 3.4 pas maandag zal verschijnen, is deze al te downloaden vanaf de FTP site. Verwacht wordt dan ook dat 3.4 op korte termijn officieel bekend wordt gemaakt.
OpenSSH 3.4 is juist gereleased en op de OpenBSD website staat niet langer dat er al 5 jaar geen remote hole in de default installatie zit.
ISS suckt gewoon in disclosure. Ze hebben die advisory veel te vroeg op hun website gezet.
OpenSSH 3.4 is juist gereleased en op de OpenBSD website staat niet langer dat er al 5 jaar geen remote hole in de default installatie zit.
Oja? Ik zie toch nog steeds "Five years without a remote hole in the default install!" op http://www.openbsd.org staan. Ik neem aan dat ze die er binnenkort wel zullen afhalen.
Oja? Ik zie toch nog steeds "Five years without a remote hole in the default install!" op http://www.openbsd.org staan. Ik neem aan dat ze die er binnenkort wel zullen afhalen.
hehe ... nog geen minuut na mijn vorige reactie hebben ze de slogan vervangen met "One remote hole in the default install, in nearly 6 years!"
Voor mijn part laten ze die onzinnige slogan geheel weg.
hehe ... nog geen minuut na mijn vorige reactie hebben ze de slogan vervangen met "One remote hole in the default install, in nearly 6 years!"
[/QUOTE]Dus ik kan de toekomst voorspellen. Waw :-)
Of misschien is het omdat ik [email]source-changes@openbsd.org[/email] volg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
