Abo
  • Services:

OpenSSH 3.7 schließt Sicherheitslücke

Neue Version bringt aber auch neue Funktionen mit

Die im Laufe des gestrigen Tages erschienene Version 3.7 von OpenSSH schließt eine möglicherweise kritische Sicherheitslücke. Ältere Versionen von OpenSSH enthalten einen Fehler im Puffer-Management, der möglicherweise von außen ausgenutzt werden kann. Auch wenn noch unklar ist, ob es sich dabei um einen kritischen Fehler handelt, haben die Entwickler eine neue Version veröffentlicht, die den Fehler beseitigt.

Artikel veröffentlicht am ,

OpenSSH ist eine freie Implementierung der SSH-Protokoll-Versionen 1.3, 1.5 und 2.0 und enthält auch einen SFTP-Client sowie entsprechende Unterstützung auf der Serverseite. In der neuen Version 3.7 hat man den Code einer umfangreichen Lizenzüberprüfung unterzogen. Infolgedessen steht nun aller Code, der nach SSH 1.x hinzugekommen ist, unter einer BSD-Lizenz ohne "Werbezwang". Zudem wurde die Rhosts-Authentifikation in ssh und sshd entfernt.

Stellenmarkt
  1. Software AG, Darmstadt
  2. über TOPOS Personalberatung GmbH, Großraum Bremen

Zudem wurde Kerberos überarbeitet und in Teilen bereinigt. So verfügt OpenSSH 3.7 über eine GSSAPI, die die alte Kerberos-Authentifizierung ablöst. Auch wurde die Reihenfolge geändert, in der versucht wurde, öffentliche Schlüssel zu authentifizieren. Neu hinzugekommen ist die Unterstützung von SOCKS5 für die dynamische Weiterleitung und die Unterstützung von "aes128-ctr"-, "aes192-ctr"- und "aes256-ctr"-Schlüsseln für SSH 2. Auch wurde die Unterstützung von SmartCards verbessert.

OpenSSH kann unter www.openssh.org für diverse Unix-ähnliche Plattformen heruntergeladen werden.



Anzeige
Hardware-Angebote
  1. und Vive Pro vorbestellbar
  2. (reduzierte Überstände, Restposten & Co.)
  3. bei Alternate.de

Michael 17. Sep 2003

Nein, es ist nur nicht populär. Du triffst genau den Punkt, bei dem meine Kritik auch...

Zappenduster 17. Sep 2003

Schon witzig, wie *diese* Lücke verheimlicht wurde... und, ob sie überhaupt kritisch ist...

irgendwer 17. Sep 2003

http://www.heise.de/security/news/meldung/40331

RipClaw 17. Sep 2003

lt. Slashdot ist ein Exploit für das Sicherheitsloch vorhanden aber ich hab diesen...


Folgen Sie uns
       


HTC Vive Pro - Test

Das HTC Vive Pro ist ein beeindruckendes Headset und ein sehr gutes Gesamtkonzept. Allerdings zweifeln wir am Erfolg des Produktes in unserem Test - und zwar wegen des sehr hohen Kaufpreises und fehlenden Zubehörs.

HTC Vive Pro - Test Video aufrufen
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


    Grenzenloser Datenzugriff: Was der Cloud-Act für EU-Bürger bedeutet
    Grenzenloser Datenzugriff
    Was der Cloud-Act für EU-Bürger bedeutet

    Neue Gesetze in den USA und der EU könnten den Weg für einen ungehinderten und schnellen weltweiten Datenzugriff von Ermittlungsbehörden ebnen. Datenschützer und IT-Wirtschaft sehen die Pläne jedoch sehr kritisch.
    Ein Bericht von Friedhelm Greis

    1. Elektronische Beweise EU-Kommission fordert weltweiten Zugriff auf Daten
    2. Panera Bread Café-Kette exponiert Millionen Kundendaten im Netz
    3. Soziale Netzwerke Datenschlampereien mit HIV-Status und Videodateien

    Patscherkofel: Gondelbahn mit Sicherheitslücken
    Patscherkofel
    Gondelbahn mit Sicherheitslücken

    Die Steuerungsanlage der neuen Gondelbahn am Innsbrucker Patscherkofel ist ohne Sicherheitsmaßnahmen im Netz zu finden gewesen. Ein Angreifer hätte die Bahn aus der Ferne übernehmen können - trotzdem beschwichtigt der Hersteller.
    Von Hauke Gierow

    1. Hamburg Sensoren melden freie Parkplätze
    2. Edge Computing Randerscheinung mit zentraler Bedeutung
    3. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger

      •  /