SSH, voragini in certe implementazioni

Il CERT avvisa della presenza in diverse implementazioni del protocollo di sicurezza SSH di una serie di gravi vulnerabilitÓ che potrebbero consentire ad un aggressore di prendere il controllo di un computer. Immune OpenSSH

Roma - Il CERT ha pubblicato un bollettino di sicurezza in cui avverte della presenza di alcune gravi vulnerabilitÓ presenti in alcune implementazioni del diffuso protocollo Secure Shell (SSH).

Le falle, scoperte in alcuni noti prodotti basati su SSH, potrebbero consentire ad un aggressore di eseguire da remoto del codice a sua scelta con gli stessi privilegi del processo SSH. Nel caso meno grave, un malintenzionato potrebbe invece dare origine a degli attacchi denial of service.

Il CERT spiega che le vulnerabilitÓ, tutte del tipo "buffer overflow", affliggono sia i client che i server SSH e possono essere sfruttate senza necessitÓ per l'eventuale aggressore di autenticarsi sul sistema.
Secondo gli esperti di sicurezza la cosa grave Ŕ nel fatto che su molte piattaforme (come Windows e Unix), i server SSH girano spesso con i massimi privilegi (system o root).

Alcune delle pi¨ diffuse implementazioni di SSH, come quelle di OpenSSH.org, Cisco e IBM, risultano immuni ai problemi qui riportati. E' possibile consultare una lista aggiornata delle implementazioni vulnerabili qui.
TAG: sicurezza
18 Commenti alla Notizia SSH, voragini in certe implementazioni
Ordina
  • Sentito? OpenSSH è immune... alla faccia di chi critica l'open source! La versione closed di SSH ha la falla la versione Open no... a voi le conclusioni...
  • Immagino che siano intenti a progettare una piattaforma closed, su cui girerà solo software closed in cui non si potrà far girare un programma che sfrutti le vulnerabilità dei protocolli, ed in cui i bachi continueranno a fiorire e moltiplicarsi allegramente.
  • A differenza di te, stanno lavorando
    non+autenticato

  • - Scritto da: Anonimo
    > A differenza di te, stanno lavorando

    O stanno in piazza a manifestare .. in solidarietà con gli operai della fiat

    tse ...
    non+autenticato

  • >
    > O stanno in piazza a manifestare .. in
    > solidarietà con gli operai della fiat
    >
    Non lo fanno i comunisti e quindi i sostenitori dell'OS?
    o sono troppo impegnati a mangiare i bambini?
    non+autenticato
  • - Scritto da: Anonimo
    > A differenza di te, stanno lavorando


    Lavorando per tappare i buchi?Sorride
    non+autenticato
  • testa di cazzo.













    /* quando ci vuole ci vuole */
    non+autenticato
  • - Scritto da: Anonimo
    > A differenza di te, stanno lavorando

    Ne deduco che tu, che come lui non stai lavorando, sei un sostenitore dell'Open...
    non+autenticato
  • - Scritto da: Skin Bracer
    > Sentito? OpenSSH è immune... alla faccia di
    > chi critica l'open source!


    Alcune versioni closed sono al sicuro tanto quanto OpenSSH....
    A volte succede anche il contrario... qualcuno ricorda il bug di kerberos?

    La versione
    > closed di SSH ha la falla la versione Open
    > no... a voi le conclusioni...

    Le conclusioni quali sono? che stai tentando di scatenare un flame?
    non+autenticato

  • - Scritto da: Skin Bracer
    > Sentito? OpenSSH è immune... alla faccia di
    > chi critica l'open source! La versione
    > closed di SSH ha la falla la versione Open
    > no... a voi le conclusioni...

    non diciamo eresie... guardati i sorgenti di openssh e vomita in allegria. Il fatto che un sorgente sia aperto ti permette di controllare, certo, e di valutare che il codice e' scritto bene o male. Nel caso di openssh e' scritto male, ma probabilmente anche altre implementazioni non sono poi cosi' belle...
    non+autenticato

  • - Scritto da: munehiro

    > non diciamo eresie... guardati i sorgenti di
    > openssh e vomita in allegria.
    [.....]
    > Nel caso di
    > openssh e' scritto male, ma probabilmente
    > anche altre implementazioni non sono poi
    > cosi' belle...

    Uhm .. allora dici che tutti i programmi che derivano da OpenBSD .. sono scritti
    male !?
    (per nn dire con il kul*) ^_-

    ;P
    non+autenticato