OpenSSH biztonsági figyelmeztető

OpenBSD

Damien Miller épp az imént postázott biztonsági figyelmeztetőt az OpenSSH-hoz. Mint írja, a University of London kutatói felhívták az OpenSSH fejlesztők figyelmét egy, az SSH 2 protokollt érintő támadási lehetőségre.

Sajnos, mivel a technikai részleteket elfelejtették közölni, a fejlesztők nem tudják megállapítani a kihatását. Talán némi megnyugvásra adhat okot a figyelmeztető következő sora: "A legtöbb SSH felhasználási módban rendkívül kicsi a valószínűsége annak, hogy ezt a támadást sikeresen végre lehessen hajtani - ...".

A bejelentés és a részletek itt.

Referenciák:
CPNI Vulnerability Advisory SSH - Plaintext Recovery Attack Against SSH
Breaking and provably repairing the SSH authenticated encryption scheme: A case study of the Encode-then-Encrypt-and-MAC paradigm

( bitumen | 2008. 11. 22., szo – 10:04 )

És mi az a fontos adat, aminek ha kiszivárog 32bit-je összedől a világ?
Még ha jelszó is, 3 karakter igen kevés belőle...
Vagy nagyon félre értettem valamit, vagy telljesen lényegtelen a hiba.

Azt szoktuk mondani, hogy 8 karakteres jelszó már nem olyan rossz, pláne, ha random... Nomostan ha ebből négy karaktert tudunk, akkor csak négyet kell kitalálni, ami azért jóval egyszerűbbé teszi még a nyers erővel történő jelszótörést is, úgyhogy tényleg nagyon nem mindegy, hogy minek a négy karakterét lehet kitötyögni egy adatfolyamból.

Titkositasoknal vannak meglepo dolgok. Asszem a PPTP torheto epp amiatt, mert az egyebkent biztonsagos felhasznalt elemek (fejbol nem tudom, de talan 3DES meg RSA) kulonbozo bitszelesseget hasznaltak, es a maradekot 0-val toltottek fel random helyett. Ez mar eleg volt a kulcs, es igy a teljes adatfolyam toresehez.

--
I don't always dress in a T-shirt and jeans. Sometimes people give me awards, and I dress like a penguin instead. - Linus Torvalds