ssh:ssa on man-in-middle:n mahdollistama bugi

[matsukan]

http://undeadly.org/cgi?action=article&sid=20160114142733

Versiot 5.4 to 7.1

UPDATE: This affects OpenSSH versions 5.4 through 7.1.

Korjaa poistamalla Roaming käytöstä :

That is, add the option UseRoaming no to your /etc/ssh/ssh_config (or your user's ~/.ssh/config) file, or start your ssh client with -oUseRoaming=no included on the commandline.

We will be updating this article with more information as it becomes available.

http://arstechnica.com/security/2016/01/bug-that-can-leak-crypto-keys-just-fixed-in-widely-used-openssh/

By contrast, the OpenSSH bug can only be exploited after a vulnerable end user connects to a maliciously configured server.

Silti kaikki avaimet joita käytetään kolmansien osapuolien kanssa tulee uusia.

edit2

http://www.ubuntu.com/usn/usn-2869-1/

OpenSSH could be made to expose sensitive information over the network.

[kuutio]

Otsikkosi vaikuttaa hiukan harhaanjohtavalta.

Linkkien mukaan tätä bugia ei voi käyttää "man-in-the-middle" hyökkäykseen vaan vaatii pahantahtoisen kohdepalvelimen. (MITM:hän tarkoittaa että bugia voisi hyödyntää joku asiakaskoneen ja palvelimen välillä)

Sinänsä toki pikaista korjausta vaativa bugi, ainakin Debianissa tuli jo päivitykset.

[matsukan]

Se hyppäsi jostakin silmille.