OpenSSH bug bejelentés

Linux

Amit "vártunk", megérkezett :( Az ISS bejelentette az OpenSSH hibáját.




URL:

bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20584Az ISS leírása alapján a hiba a challenge-response authentikációs részben van, egy speciális válasszal buffer túlcsordulás idézhető elő, ami vagy DoS-t eredményezhet, vagy jogosultságszerzést.

Javasolt intézkedés: sshd_config file-ban


ChallengeResponseAuthentication no beállítása (és a daemon újraindítása).

A bejelentésben érdekes, hogy úgy állítja be, mintha az ISS egyedüli érdeme lett volna a hiba megtalálása (Theo deRaadt kap ugyan egy köszönetet, de ennyi.).

Az advisory-kban szokásos "vendor status" rész hiányzik (csak nekem?). Ebben szokták leírni, hogy a gyártóval mikor vették fel a kapcsolatot, mikor várható patch, stb.


Ennek hiánya legalábbis bosszantó, ugyanezt játszották el az Apache legutóbbi hibájánál is.