A múlt héten bukkant fel az OpenSSH-ban egy puffer kezelési hiba, amelynek az eredménye egy két napos patch-fest lett.
Akkor különböző levelezési listákon többen is ajánlották, hogy érdemes cserélni OpenSSH-ról lsh-ra. Az lsh a GNU projekt OpenSSH helyettesítője, egy szabadon felhasználható ssh2 protokol implementáció. Úgy tűnik, hogy akik lecserélték az OpenSSH-t, rossz lóra tettek.Az lsh csapat egy ún. heap túlcsorulási hibát fedezett fel a lsh-ban, amelyet a rosszindulatú támadó kihasználva távolról "root" fiókhoz juthat az áldozat rendszerén. Sajnos ez nem csak elméleti hiba, készült az lsh 1.4.x-hez 'proof of concept' exploit is. Az lsh felhasználóknak azonnali frissítés javasolt!
A PATCH ITT.