Ubuntu Suomen keskustelualueet

Muut alueet => Yleistä keskustelua => Aiheen aloitti: matsukan - 14.01.16 - klo:22.50

Otsikko: ssh:ssa on man-in-middle:n mahdollistama bugi
Kirjoitti: matsukan - 14.01.16 - klo:22.50

http://undeadly.org/cgi?action=article&sid=20160114142733

Versiot 5.4 to 7.1

Lainaus

UPDATE: This affects OpenSSH versions 5.4 through 7.1.

Korjaa poistamalla Roaming käytöstä :

Lainaus

That is, add the option UseRoaming no to your /etc/ssh/ssh_config (or your user's ~/.ssh/config) file, or start your ssh client with -oUseRoaming=no included on the commandline.

We will be updating this article with more information as it becomes available.

http://arstechnica.com/security/2016/01/bug-that-can-leak-crypto-keys-just-fixed-in-widely-used-openssh/

Lainaus

By contrast, the OpenSSH bug can only be exploited after a vulnerable end user connects to a maliciously configured server.

Silti kaikki avaimet joita käytetään kolmansien osapuolien kanssa tulee uusia.

edit2

http://www.ubuntu.com/usn/usn-2869-1/

Lainaus

OpenSSH could be made to expose sensitive information over the network.

Otsikko: Vs: ssh:ssa on man-in-middle:n mahdollistama bugi
Kirjoitti: kuutio - 15.01.16 - klo:08.20

Otsikkosi vaikuttaa hiukan harhaanjohtavalta.

Linkkien mukaan tätä bugia ei voi käyttää "man-in-the-middle" hyökkäykseen vaan vaatii pahantahtoisen kohdepalvelimen. (MITM:hän tarkoittaa että bugia voisi hyödyntää joku asiakaskoneen ja palvelimen välillä)

Sinänsä toki pikaista korjausta vaativa bugi, ainakin Debianissa tuli jo päivitykset.

Otsikko: Vs: ssh:ssa on man-in-middle:n mahdollistama bugi
Kirjoitti: matsukan - 15.01.16 - klo:10.27

Se hyppäsi jostakin silmille.   :P