The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вышло обновление OpenSSH 5.8 с исправлением недоработки, связанной с безопасностью

04.02.2011 12:21

Спустя неделю после релиза OpenSSH 5.7, анонсирован корректирующий выпуск OpenSSH 5.8 в котором устранена незначительная проблема безопасности и исправлены две ошибки, мешающие использованию на системах с SELinux.

Устраненная проблема безопасности, связана с возможностью утечки в поле "nonce" нескольких байт содержимого стека при генерации с использованием опции "-t" устаревших типов сертификатов (*-cert-v00@openssh.com). Вместо случайного заполнения, поле "nonce" оказывается не инициализированным. Проблема проявляется в версиях OpenSSH 5.6 и 5.7 при достаточно редких обстоятельствах: при наличии определенной комбинации платформы, набора библиотек и компилятора. Более того, ошибка может представлять опасность только при маловероятном наличии в определенной части стека конфиденциальных данных (например, в стеке может остаться часть закрытого CA-ключа).

  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Релиз OpenSSH 5.7
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssh, ssh, cert, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (9) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Анон (?), 13:34, 04/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Йопто, и года не прошло. Secure by design. Опять обновлять толпу серверов...
     
     
  • 2.2, anonymous (??), 14:00, 04/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Йопто, и года не прошло. Secure by design. Опять обновлять толпу серверов...

    у плохого админа сервер без глаза.

     
     
  • 3.4, Анон (?), 15:04, 04/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    :D:D:D:D Плохой админ до сих пор юзает OpenSSH 4.7 :D:D:D
     
  • 2.7, User294 (ok), 16:42, 04/02/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Жирно слишком, т.к. бага достаточно незначительная - пострадать от нее надо еще суметь.
     

  • 1.3, FreeDoS (?), 14:18, 04/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "например, в стеке может остаться часть закрытого CA-сертификата"
    А когда сертификаты закрытыми стали? Или автор что-то в переводе напутал.
     
     
  • 2.8, User294 (ok), 16:44, 04/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > "например, в стеке может остаться часть закрытого CA-сертификата"
    > А когда сертификаты закрытыми стали? Или автор что-то в переводе напутал.

    Наверное имелся в виду приватный кей CA-сертификата.

     

  • 1.5, онано (?), 15:10, 04/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >In particular, there exists a risk that some bytes from

       the privileged CA key may be accidentally included.

     
     
  • 2.6, FreeDoS (?), 16:16, 04/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Так это меняет дело. Речь идет об закрытом ключе СА, а не о каком-то сертификате СА, что по суте не секретнее открытого ключа.

    Было бы не плохо, если бы автор поправил свой перевод

     
     
  • 3.10, Анонимус2 (?), 17:16, 04/02/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты б протокол-то изучил, прежде чем писать ахинею. Публичный ключ, зарегистрированный в качестве авторизованного на сервере - его достаточно предъявить - и привет, ты вошел.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру