08.11.2013 | 15:01

Adam Haertle

Zdalny błąd w OpenSSH – ale wcale nie taki straszny

Kilka godzin temu pojawiła się informacja o konieczności załatania usługi OpenSSH z uwagi na błąd umożliwiający zdalne wykonanie kodu na serwerze. Na szczęście nie taki demon straszny, jak go malują, ponieważ błąd wykorzystać można dopiero po uwierzytelnieniu użytkownika. Po co to komu? Bywa, że dostawca usługi SSH ogranicza prawa użytkownika (np. z powodu nadużyć), zamiast usuwać konto. Jeśli zatem taki użytkownik może się zalogować, ale np. nie może wykonywać poleceń, to ten błąd pozwala na ominięcie ograniczenia.

Logo projektu

Logo projektu

Podatne wersje to OpenSSH 6.2 iOpenSSH 6.3 pod warunkiem, że OpenSSL wspiera AES-GCM. Wersja 6.4 jest już załatana. Zainteresowanym polecamy również wątek na Hacker News.

Powrót

Komentarz

  • 2013.11.08 15:05 adrian

    Takie halo o jedną linijkę ;-) :P

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zdalny błąd w OpenSSH – ale wcale nie taki straszny

Komentarze