Suunnitteluvirhe avasi aukon SSH:hon
19.11.2008 07:58 SSH-protokollasta on löytynyt suunnitteluvirheestä johtuva protokollatason haavoittuvuus. Protokolla määrittelee paketin pituuden 32-bittiä pitkässä kentässä, kertoo Viestintäviraston tietoturvayksikkö CERT.FI.
CERT-FI:n mukaan kenttää käytetään määrittelemään kuinka paljon tietoa pakettia kohden odotetaan, joten kentän sisältämän tiedon salaus pitää purkaa ennenkuin loput paketista on vastaanotettu ja viestin eheyden tarkistuksessa käytettävä MAC-koodi (Message authentication code) voidaan tarkistaa.
Syöttämällä kohteelle lohkollinen salattua tietoa SSH-paketin ensimmäisenä osana, hyökkääjä voi saada SSH-palvelimen kohtelemaan tuloksena saatavaa selkokielistä tekstiä uuden paketin ensimmäisenä osana. Hyökkääjä voi sen jälkeen syöttää SSH-yhteyteen satunnaisia lohkoja salattua tietoa ja päätellä kuinka paljon tietoa tarvitsee lähettää ennenkuin palvelin päättelee koko paketin vastaanotetuksi ja lopettaa vastaanottamisen tuottamalla MAC-virheen.
Virheilmoituksen laukaisemiseen tarvittava määrä tietoa paljastaa tällöin 32-bittisen paketin pituus -kentän sisällön. Lohkosalaimissa käytettyjen Cipher block-chaining (CBC) -tilan ominaisuuksien vuoksi tämän 32-bittisen kentän arvo paljastaa myös saman mittaisen osan lähetetystä paketista selkokielisenä. Lohkoja tarvitsee kuitenkin lähettää SSH-yhteyteen palvelimen toteutuksesta riippuen huomattavia määriä ennenkuin MAC-tarkistus käynnistyy.
SSH eli Secure Shell on protokolla jonka avulla käyttäjät voivat muodostaa turvallisen, salatun yhteyden internetin yli. Sen avulla voidaan esimerkiksi suorittaa komentoja etäjärjestelmässä ja siirtää tiedostoja tietokoneelta tai palvelimelta toiselle. Protokollaa tukevia palvelin- ja asiakassovelluksia, eli server ja client -sovelluksia, on saatavilla useimmille käyttöjärjestelmille. SSH on korvannut käytännössä telnetin ja ftp:n jotka lähettävät muun muassa kirjautumistiedot eli tunnuksen ja salasanan selkokielisenä.
Haavoittuvat ohjelmistot ovat muun muassa OpenSSH 4.7p1 sekä muut SSH-protokollaa käyttävät ohjelmistot
CERT-FI:n mukaan ongelman voi poistaa käyttämällä haluttua lohkosalainta CBC-tilan sijaan CTR-tilassa. Esimerkiksi OpenSSH-palvelimessa on toteutettu AES-salaus CTR-tilassa. Halutun algoritmin ja tilan käytön voi helpoiten varmistaa rajoittamalla tarjolla olevaa salausalgoritmien valikoimaa salauksen kättelyvaiheessa.
SSH Communication Securityn tuotteiden korjatuissa versioissa voidaan turvallisesti käyttää CBC-moodia, CERT-FI arvioi.
Lisätietoja löytyy CPNI:n haavoittuvuustiedotteesta CPNI-957037.
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 14:20 Google: Näytä surfailusi, saat rahaa
- 14:16 Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 13:19 Samsungilta ei julkistuksia Barcelonassa
- 13:05 Ciscon tulos parani reippaasti
- 11:02 Angry Birds laskeutui Helsinki-Vantaalle
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 09:46 Apple myy vihdoin iPhone 4S:ää Kiinassa
- 09:11 Sadan tonnin sakot kuluttajien harhauttamisesta
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 00:22 Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Nokian potkut uhkaavat tuhatta Salon tehtaalla
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Nokia Lumia saa valkoisen värin
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Google pyyhki Atlantiksen kartalta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 6.2. Nokia Lumia saa valkoisen värin
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Apple hakkasi Nokian ennätyksen
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 7.2. Microsoft poistaa start-napin
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Lisää
Digiyesterday
Viisi vuotta sitten
Kodak leikkaa yli 30000 työpaikkaa
09.02.2007 Valokuvajätti Eastman Kodak ilmoitti torstaina irtisanovansa vielä 5000 henkeä aiemmin ilmoittamiensa lisäksi. Yhtiö on päättämässä mittavaa kamppanjaa, jonka on tarkoitus muuttaa perinteinen valokuvafilmin valmistaja digikuvauksen jättiläiseksi.
Kolme vuotta sitten
Television hätätiedote ärsytti
09.02.2009 Hätätiedotteiden välitysjärjestelmää testataan jälleen radiossa kaikilla YLEn ja kaupallisilla kanavilla sekä televisiossa YLEn, MTV:n ja Nelosen kanavilla keskiviikkona hätänumeropäivänä. Abloyn tehdaspalo kuitenkin osoitti, että kaikki eivät pidä systeemiä yksiselitteisen hyvänä.
Taloussanomat
- "Finnair hakee kumppania suuresta joukosta yhtiöitä" 14:43
- Tänne tulevat uudet Prismat 14:48
- EKP ei koskenut korkoon 14:45
- Kreikka teki viime hetken vaatimuksia – velkasopimus taas uhattuna 13:35
- Tasan vuosi – euribor laski taas 1,70 prosenttiin 12:33
- Asunnon ostaja, älä luule – yritä selvittää 06:01
- 8 syytä, miksi Google tai Apple ei ikinä palkkaa sinua 14:27
- Sampo Pankin tulos heikkeni hieman 12:28
- M-realin ja Metsäliiton nimet muuttuvat 10:20
- Puutteellisia sähkötuotteita myydään aiempaa enemmän 12:03
- » Taloussanomat.fi
-
117 e
MSI WindBox II (Atom N270, 2 GB, 160 GB, Ei käyttöjärjestelmää), keskusyksikkö
-
96 e
Asus EeeTop PC ET2400INT-B013E (Core i5-650, 4 GB, 1 TB, 23,6, Win 7 Home Premium), keskusyksikkö
-
56 e
Lenovo ThinkStation S20 (Xeon W3550, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
52 e
Fujitsu Esprimo Q1510-Q02 (Core i3-350M, 4 GB, 320 GB, Win 7 Home Premium), keskusyksikkö
-
50 e
Asus CG8350 (Core i7-2600, 12 GB, 1 TB, Win 7 Home Premium), keskusyksikkö
Kommentit (9)
No miten sitten tuo pitäisi kirjoittaa? Itselleni ainakin koulussa opetettiin juuri tämä kirjoitustapa. Jos on kirjainlyhenne, siihen lisätään loppuliite joka vastaa kirjainten ääneen lausuttaessa saamaa loppuliitettä. Äs äs hoo:hon. Toinen korrekti tapa on kirjoittaa ymmärtääkseni lyhenteen täyden muodon saama loppupääte eli tässä tapauksessa secure shell:iin.
Ylipäätänsä totaalisen idioottimaista alkaa kitisemään oikeinkirjotuksesta. jos ei ole mitään muuta sanottavaa, niin ole hiljaa. Kielipoliisit on varmasti eräs rasittavimmista ja vastenmielisimmistä porukoista mitä netissä liikkuu. pitäsitte vaan huolen omista asioistanne, ketään normaalia ihmistä ei pätkän vertaa kiinnosta se onko nyt jossain pilkku väärässä asennossa, yhdyssanavirhe tai lyhenteen pääte oikein. Normaalit ihmiset ei siitä tee ongelmaa toisin kuin kielipoliisit.
Helsingin teknillisessä oppilaitoksessa.
Seuraava kuitenkin nykyajan kielenoppaasta, koska tekun aikainen kurssimateriaali lensi roskiin jo viime vuosituhannella.
Lyhenteen tms. taivutettuun muotoon kirjoitetaan kaksoispisteen jälkeen näkyviin se pääte, joka ilmauksessa ääneen luettuna on. Kirjoittajan on siis tiedettävä, miten lyhenne luetaan. Tässä voi olla useita vaihtoehtoja, koska lyhenteellä on useita lukutapoja, etenkin, jos sillä on useita merkityksiä.
FTP:hen = äf tee peehen
oy:öön = osakeyhtiöön
oy:hyn = oo yyhyn
Eli kuten alkuperäisessä viestissäni sanoin, voidaan kirjoittaa sekä lyhenne luettuna kirjaimina tai aukipurettuna. Kts. tuo oy:öön sekä oy:hyn. SSH:hon, SSH:iin.
Lisää klippailua samasta lähteestä:
Kun vielä otetaan huomioon, että versaalien käyttö lyhenteen kirjoitusasussa voi vaihdella, saadaan usein monta erilaista vaihtoehtoa. Esimerkiksi Euroopan talousalue -nimityksen lyhennettä Eta tai ETA voidaan taivuttaa seuraavilla tavoilla:
kuulumme Etaan (luetaan: etaan)
kuulumme ETAan (luetaan: etaan)
kuulumme ETA:han (luetaan: ee tee aahan)
kuulumme Eta:han (luetaan: ee tee aahan)
kuulumme ETA:seen (luetaan: Euroopan talousalueeseen)
kuulumme Eta:seen (luetaan: Euroopan talousalueeseen)
Riittääkö selitykseksi?