Kilka godzin temu pojawiła się informacja o konieczności załatania usługi OpenSSH z uwagi na błąd umożliwiający zdalne wykonanie kodu na serwerze. Na szczęście nie taki demon straszny, jak go malują, ponieważ błąd wykorzystać można dopiero po uwierzytelnieniu użytkownika. Po co to komu? Bywa, że dostawca usługi SSH ogranicza prawa użytkownika (np. z powodu nadużyć), zamiast usuwać konto. Jeśli zatem taki użytkownik może się zalogować, ale np. nie może wykonywać poleceń, to ten błąd pozwala na ominięcie ograniczenia.
Logo projektu
Podatne wersje to OpenSSH 6.2 iOpenSSH 6.3 pod warunkiem, że OpenSSL wspiera AES-GCM. Wersja 6.4 jest już załatana. Zainteresowanym polecamy również wątek na Hacker News.
Komentarz
Takie halo o jedną linijkę ;-) :P