OpenSSH 3.7 schließt Sicherheitslücke
Neue Version bringt aber auch neue Funktionen mit
Die im Laufe des gestrigen Tages erschienene Version 3.7 von OpenSSH schließt eine möglicherweise kritische Sicherheitslücke. Ältere Versionen von OpenSSH enthalten einen Fehler im Puffer-Management, der möglicherweise von außen ausgenutzt werden kann. Auch wenn noch unklar ist, ob es sich dabei um einen kritischen Fehler handelt, haben die Entwickler eine neue Version veröffentlicht, die den Fehler beseitigt.
OpenSSH ist eine freie Implementierung der SSH-Protokoll-Versionen 1.3, 1.5 und 2.0 und enthält auch einen SFTP-Client sowie entsprechende Unterstützung auf der Serverseite. In der neuen Version 3.7 hat man den Code einer umfangreichen Lizenzüberprüfung unterzogen. Infolgedessen steht nun aller Code, der nach SSH 1.x hinzugekommen ist, unter einer BSD-Lizenz ohne "Werbezwang". Zudem wurde die Rhosts-Authentifikation in ssh und sshd entfernt.
Zudem wurde Kerberos überarbeitet und in Teilen bereinigt. So verfügt OpenSSH 3.7 über eine GSSAPI, die die alte Kerberos-Authentifizierung ablöst. Auch wurde die Reihenfolge geändert, in der versucht wurde, öffentliche Schlüssel zu authentifizieren. Neu hinzugekommen ist die Unterstützung von SOCKS5 für die dynamische Weiterleitung und die Unterstützung von "aes128-ctr"-, "aes192-ctr"- und "aes256-ctr"-Schlüsseln für SSH 2. Auch wurde die Unterstützung von SmartCards verbessert.
OpenSSH kann unter www.openssh.org für diverse Unix-ähnliche Plattformen heruntergeladen werden.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Nein, es ist nur nicht populär. Du triffst genau den Punkt, bei dem meine Kritik auch...
Schon witzig, wie *diese* Lücke verheimlicht wurde... und, ob sie überhaupt kritisch ist...
http://www.heise.de/security/news/meldung/40331
lt. Slashdot ist ein Exploit für das Sicherheitsloch vorhanden aber ich hab diesen...