Nieuws
image

Remote root exploit in Lsh

zondag 21 september 2003, 09:37 door Redactie, 1 reacties

Na het lek in OpenSSH dat vorige week werd ontdekt en waar twee updates voor verschenen, suggereerden sommige mensen om over te stappen op GNU Lsh. GNU Lsh is een implemenatie van SSH 2 dat op het moment door de IETF SECSH werkgroep gestandaardiseerd wordt. Het Lsh team heeft echter een heap overflow bug ontdekt waardoor de root gecompromitteerd zou kunnen worden. Gebruikers van Ish wordt dan ook aangeraden om de patch toe te passen die op deze pagina vermeld staat. (Slashdot)

Reacties (1)
21-09-2003, 11:30 door Anoniem
[admin] Bedankt, aangepast [/admin]

Ten tweede, eigenlijk is dit naar voren gekomen tijdens een discussie op Full-Disclosure.

Toen de OpenSSH bug was ontdekt, werd de upgrade naar 'Lsh' gesuggereerd waardoor een hele rits 'OpenSSH is beter' en 'Lsh is beter' mails losbarsten.

Oh wat was 'Lsh' veilig volgens sommigen.

Niet! zei iemand die kon aantonen dat-ie bij cat /dev/random | nc <host> -p 22 crashte.

Oh je gebruikt de development versie! 1.4 is vast veel stabieler!

Iemand kon het gezeik ff niet meer aan en postte zijn eigen remote root exploit voor 'Lsh' 1.4.

Het 'Lsh Team' heeft dus niets ontdekt, ze *moesten* het wel patchen omdat anders iedereen direct kwetsbaar was.

Zoek maar ff rond op het archive van de betreffende mailing-list; best geestig namelijk.

http://lists.netsys.com/full-disclosure-charter.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search