Suunnitteluvirhe avasi aukon SSH:hon
19.11.2008 07:58 SSH-protokollasta on löytynyt suunnitteluvirheestä johtuva protokollatason haavoittuvuus. Protokolla määrittelee paketin pituuden 32-bittiä pitkässä kentässä, kertoo Viestintäviraston tietoturvayksikkö CERT.FI.
CERT-FI:n mukaan kenttää käytetään määrittelemään kuinka paljon tietoa pakettia kohden odotetaan, joten kentän sisältämän tiedon salaus pitää purkaa ennenkuin loput paketista on vastaanotettu ja viestin eheyden tarkistuksessa käytettävä MAC-koodi (Message authentication code) voidaan tarkistaa.
Syöttämällä kohteelle lohkollinen salattua tietoa SSH-paketin ensimmäisenä osana, hyökkääjä voi saada SSH-palvelimen kohtelemaan tuloksena saatavaa selkokielistä tekstiä uuden paketin ensimmäisenä osana. Hyökkääjä voi sen jälkeen syöttää SSH-yhteyteen satunnaisia lohkoja salattua tietoa ja päätellä kuinka paljon tietoa tarvitsee lähettää ennenkuin palvelin päättelee koko paketin vastaanotetuksi ja lopettaa vastaanottamisen tuottamalla MAC-virheen.
Virheilmoituksen laukaisemiseen tarvittava määrä tietoa paljastaa tällöin 32-bittisen paketin pituus -kentän sisällön. Lohkosalaimissa käytettyjen Cipher block-chaining (CBC) -tilan ominaisuuksien vuoksi tämän 32-bittisen kentän arvo paljastaa myös saman mittaisen osan lähetetystä paketista selkokielisenä. Lohkoja tarvitsee kuitenkin lähettää SSH-yhteyteen palvelimen toteutuksesta riippuen huomattavia määriä ennenkuin MAC-tarkistus käynnistyy.
SSH eli Secure Shell on protokolla jonka avulla käyttäjät voivat muodostaa turvallisen, salatun yhteyden internetin yli. Sen avulla voidaan esimerkiksi suorittaa komentoja etäjärjestelmässä ja siirtää tiedostoja tietokoneelta tai palvelimelta toiselle. Protokollaa tukevia palvelin- ja asiakassovelluksia, eli server ja client -sovelluksia, on saatavilla useimmille käyttöjärjestelmille. SSH on korvannut käytännössä telnetin ja ftp:n jotka lähettävät muun muassa kirjautumistiedot eli tunnuksen ja salasanan selkokielisenä.
Haavoittuvat ohjelmistot ovat muun muassa OpenSSH 4.7p1 sekä muut SSH-protokollaa käyttävät ohjelmistot
CERT-FI:n mukaan ongelman voi poistaa käyttämällä haluttua lohkosalainta CBC-tilan sijaan CTR-tilassa. Esimerkiksi OpenSSH-palvelimessa on toteutettu AES-salaus CTR-tilassa. Halutun algoritmin ja tilan käytön voi helpoiten varmistaa rajoittamalla tarjolla olevaa salausalgoritmien valikoimaa salauksen kättelyvaiheessa.
SSH Communication Securityn tuotteiden korjatuissa versioissa voidaan turvallisesti käyttää CBC-moodia, CERT-FI arvioi.
Lisätietoja löytyy CPNI:n haavoittuvuustiedotteesta CPNI-957037.
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Leffateatterin paikannäyttäjä saalistaa piraatteja yölaseilla
27.05.2007 Malesiassa on keksitty uusi ase taisteluun elokuvapiratismia vastaan: yölasit, joilla käräytetään videokameralla elokuvateatterissa kuvaavia katsojia. Lasien käyttökoulutusta tarjoaa - mikäs muukaan - amerikkalainen elokuvayhtiöiden järjestö MPAA, joka on vienyt Malesiaan jopa dvd-vainukoiria.
Kolme vuotta sitten
USA:n digi-tv-siirtymä jättää 3 miljoonaa ilman televisiota
27.05.2009 Neljän kuukauden lisäaika leikkasi valmistautumattomien määrän puoleen.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Muhkean muovinen Nissan Juke 06:05
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Yle: Katainen torjuu ajatuksen valtion kaivosyhtiöstä 16:54
- Konkareiden neuvot koulunsa päättäville: Intohimoa ja tasapainoa 17:47
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- » Taloussanomat.fi
Kommentit (9)
No miten sitten tuo pitäisi kirjoittaa? Itselleni ainakin koulussa opetettiin juuri tämä kirjoitustapa. Jos on kirjainlyhenne, siihen lisätään loppuliite joka vastaa kirjainten ääneen lausuttaessa saamaa loppuliitettä. Äs äs hoo:hon. Toinen korrekti tapa on kirjoittaa ymmärtääkseni lyhenteen täyden muodon saama loppupääte eli tässä tapauksessa secure shell:iin.
Ylipäätänsä totaalisen idioottimaista alkaa kitisemään oikeinkirjotuksesta. jos ei ole mitään muuta sanottavaa, niin ole hiljaa. Kielipoliisit on varmasti eräs rasittavimmista ja vastenmielisimmistä porukoista mitä netissä liikkuu. pitäsitte vaan huolen omista asioistanne, ketään normaalia ihmistä ei pätkän vertaa kiinnosta se onko nyt jossain pilkku väärässä asennossa, yhdyssanavirhe tai lyhenteen pääte oikein. Normaalit ihmiset ei siitä tee ongelmaa toisin kuin kielipoliisit.
Helsingin teknillisessä oppilaitoksessa.
Seuraava kuitenkin nykyajan kielenoppaasta, koska tekun aikainen kurssimateriaali lensi roskiin jo viime vuosituhannella.
Lyhenteen tms. taivutettuun muotoon kirjoitetaan kaksoispisteen jälkeen näkyviin se pääte, joka ilmauksessa ääneen luettuna on. Kirjoittajan on siis tiedettävä, miten lyhenne luetaan. Tässä voi olla useita vaihtoehtoja, koska lyhenteellä on useita lukutapoja, etenkin, jos sillä on useita merkityksiä.
FTP:hen = äf tee peehen
oy:öön = osakeyhtiöön
oy:hyn = oo yyhyn
Eli kuten alkuperäisessä viestissäni sanoin, voidaan kirjoittaa sekä lyhenne luettuna kirjaimina tai aukipurettuna. Kts. tuo oy:öön sekä oy:hyn. SSH:hon, SSH:iin.
Lisää klippailua samasta lähteestä:
Kun vielä otetaan huomioon, että versaalien käyttö lyhenteen kirjoitusasussa voi vaihdella, saadaan usein monta erilaista vaihtoehtoa. Esimerkiksi Euroopan talousalue -nimityksen lyhennettä Eta tai ETA voidaan taivuttaa seuraavilla tavoilla:
kuulumme Etaan (luetaan: etaan)
kuulumme ETAan (luetaan: etaan)
kuulumme ETA:han (luetaan: ee tee aahan)
kuulumme Eta:han (luetaan: ee tee aahan)
kuulumme ETA:seen (luetaan: Euroopan talousalueeseen)
kuulumme Eta:seen (luetaan: Euroopan talousalueeseen)
Riittääkö selitykseksi?