image

OpenSSH dicht beveiligingslek in OpenSSH 6.4

zondag 10 november 2013, 09:20 door Redactie, 1 reacties

De makers van OpenSSH, het populaire programma waarmee veilige verbindingen met andere computers kunnen worden opgezet, hebben een beveiligingslek verholpen waardoor het in theorie mogelijk zou zijn om willekeurige code met de rechten van de geauthenticeerde gebruiker uit te voeren.

Volgens de ontwikkelaars is de kans op misbruik echter zeer klein. Het probleem bevond zich in het AES-GCM-algoritme dat voor de versleuteling en authenticatie wordt gebruikt. Een kwaadwillende gebruiker die al op een machine zou kunnen inloggen zou via het lek willekeurige code kunnen uitvoeren en aanwezige shell/command-configuraties kunnen omzeilen. Aangezien een gebruiker al moet kunnen inloggen is het vooral een probleem voor bijvoorbeeld serviceproviders waar meerdere gebruikers via SSH inloggen.

De kwetsbaarheid werd door een ontwikkelaar van OpenSSH zelf ontdekt en het is de vraag of er ooit een exploit voor zal verschijnen. Het lek is namelijk zeer lastig te misbruiken stellen de ontwikkelaars. Toch is er een beveiligingsupdate in de vorm van OpenSSH 6.4 uitgekomen. Voor gebruikers van OpenSSH 6.2. en 6.3 is het ook mogelijk om een fix te installeren zodat ze deze versies kunnen blijven gebruiken.

Reacties (1)
13-11-2013, 16:08 door hx0r3z
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4548
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.