Protokollatasolla
Suunnitteluvirhe avasi aukon SSH:hon
19.11.2008 07:58 SSH-protokollasta on löytynyt suunnitteluvirheestä johtuva protokollatason haavoittuvuus. Protokolla määrittelee paketin pituuden 32-bittiä pitkässä kentässä, kertoo Viestintäviraston tietoturvayksikkö CERT.FI.
CERT-FI:n mukaan kenttää käytetään määrittelemään kuinka paljon tietoa pakettia kohden odotetaan, joten kentän sisältämän tiedon salaus pitää purkaa ennenkuin loput paketista on vastaanotettu ja viestin eheyden tarkistuksessa käytettävä MAC-koodi (Message authentication code) voidaan tarkistaa.
Syöttämällä kohteelle lohkollinen salattua tietoa SSH-paketin ensimmäisenä osana, hyökkääjä voi saada SSH-palvelimen kohtelemaan tuloksena saatavaa selkokielistä tekstiä uuden paketin ensimmäisenä osana. Hyökkääjä voi sen jälkeen syöttää SSH-yhteyteen satunnaisia lohkoja salattua tietoa ja päätellä kuinka paljon tietoa tarvitsee lähettää ennenkuin palvelin päättelee koko paketin vastaanotetuksi ja lopettaa vastaanottamisen tuottamalla MAC-virheen.
Virheilmoituksen laukaisemiseen tarvittava määrä tietoa paljastaa tällöin 32-bittisen paketin pituus -kentän sisällön. Lohkosalaimissa käytettyjen Cipher block-chaining (CBC) -tilan ominaisuuksien vuoksi tämän 32-bittisen kentän arvo paljastaa myös saman mittaisen osan lähetetystä paketista selkokielisenä. Lohkoja tarvitsee kuitenkin lähettää SSH-yhteyteen palvelimen toteutuksesta riippuen huomattavia määriä ennenkuin MAC-tarkistus käynnistyy.
SSH eli Secure Shell on protokolla jonka avulla käyttäjät voivat muodostaa turvallisen, salatun yhteyden internetin yli. Sen avulla voidaan esimerkiksi suorittaa komentoja etäjärjestelmässä ja siirtää tiedostoja tietokoneelta tai palvelimelta toiselle. Protokollaa tukevia palvelin- ja asiakassovelluksia, eli server ja client -sovelluksia, on saatavilla useimmille käyttöjärjestelmille. SSH on korvannut käytännössä telnetin ja ftp:n jotka lähettävät muun muassa kirjautumistiedot eli tunnuksen ja salasanan selkokielisenä.
Haavoittuvat ohjelmistot ovat muun muassa OpenSSH 4.7p1 sekä muut SSH-protokollaa käyttävät ohjelmistot
CERT-FI:n mukaan ongelman voi poistaa käyttämällä haluttua lohkosalainta CBC-tilan sijaan CTR-tilassa. Esimerkiksi OpenSSH-palvelimessa on toteutettu AES-salaus CTR-tilassa. Halutun algoritmin ja tilan käytön voi helpoiten varmistaa rajoittamalla tarjolla olevaa salausalgoritmien valikoimaa salauksen kättelyvaiheessa.
SSH Communication Securityn tuotteiden korjatuissa versioissa voidaan turvallisesti käyttää CBC-moodia, CERT-FI arvioi.
Lisätietoja löytyy CPNI:n haavoittuvuustiedotteesta CPNI-957037.
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 19.3. Netin kuumimman osoitteen huutokauppa peruuntui
- 19.3. Nokia ei ole enää luotetuin brändi kaikkialla Euroopassa
- 19.3. Google: Viacom väärensi videoita näyttämään varastetuilta
- 19.3. HTC tyrmää Applen patenttisyytökset
- 19.3. Samsung tähtää kaksinumeroiseen kasvuun
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 19.3. Pelastakaa Lasten nettityölle heltisi 45 000 euroa
- 19.3. Venäläinen rickroll leviää maailmalla
- 19.3. Yle valittaa Digita-päätöksestä
- 19.3. Suomi ja Venäjä panevat kuriin itärajan puheluita
- 19.3. Facebook ja mokkula paljastivat mafian tappajan
- 19.3. Palmin näkymät eivät vakuuttaneet
- 19.3. Vankilan korvaava seurantapanta lähestyy
- 19.3. Kärkipelit vaihtuvat tiuhaa tahtia
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 19.3. Venäläinen rickroll leviää maailmalla
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 19.3. Facebook ja mokkula paljastivat mafian tappajan
- 19.3. Netin kuumimman osoitteen huutokauppa peruuntui
- 19.3. Google: Viacom väärensi videoita näyttämään varastetuilta
- 19.3. Suomi ja Venäjä panevat kuriin itärajan puheluita
- 19.3. Nokia ei ole enää luotetuin brändi kaikkialla Euroopassa
- 19.3. Yle valittaa Digita-päätöksestä
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 19.3. Yle valittaa Digita-päätöksestä
- 19.3. Nokia ei ole enää luotetuin brändi kaikkialla Euroopassa
- 19.3. Palmin näkymät eivät vakuuttaneet
- 19.3. HTC tyrmää Applen patenttisyytökset
- 19.3. Suomi ja Venäjä panevat kuriin itärajan puheluita
- 19.3. Venäläinen rickroll leviää maailmalla
- 19.3. Facebook ja mokkula paljastivat mafian tappajan
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Osakesijoittajan menestyksen salaisuus: vakoiluohjelma 16:26
- Roskaposti jyskyttää täydellä höyryllä 15:26
- Krakkeri sai sata autoa tööttäämään 13:35
- Salasanoja varastetaan Facebookin nimissä 12:11
- Verkkokortti altistaa HP:n tietokoneita pahanteolle 10:08
- Luottaisitko sinä näihin sähköposteihin? 15:27
- Venezuelan presidentti tulistui vapaalle internetille 13:14
- Twitter seuloo vaaralliset verkko-osoitteet 11:27
- Lisää
Hintanousijat
-
107 e
Toshiba Satellite A500-1GF (Core i3-330M, 6 Gt, 16", Win 7 Home Premium), kannettava tietokone
-
48 e
Lenovo Thinkpad SL410 (Core 2 Duo T5870, 2 Gt, 14", Win 7 Professional), kannettava tietokone
-
45 e
HP Compaq 8730W (Core 2 Duo T9600, 17", 4 Gt, Win Vista Business ja WinXP Pro), kannettava tietokone
-
35 e
-
34 e
Hintalaskijat
Kommentit (9)
No miten sitten tuo pitäisi kirjoittaa? Itselleni ainakin koulussa opetettiin juuri tämä kirjoitustapa. Jos on kirjainlyhenne, siihen lisätään loppuliite joka vastaa kirjainten ääneen lausuttaessa saamaa loppuliitettä. Äs äs hoo:hon. Toinen korrekti tapa on kirjoittaa ymmärtääkseni lyhenteen täyden muodon saama loppupääte eli tässä tapauksessa secure shell:iin.
Ylipäätänsä totaalisen idioottimaista alkaa kitisemään oikeinkirjotuksesta. jos ei ole mitään muuta sanottavaa, niin ole hiljaa. Kielipoliisit on varmasti eräs rasittavimmista ja vastenmielisimmistä porukoista mitä netissä liikkuu. pitäsitte vaan huolen omista asioistanne, ketään normaalia ihmistä ei pätkän vertaa kiinnosta se onko nyt jossain pilkku väärässä asennossa, yhdyssanavirhe tai lyhenteen pääte oikein. Normaalit ihmiset ei siitä tee ongelmaa toisin kuin kielipoliisit.
Helsingin teknillisessä oppilaitoksessa.
Seuraava kuitenkin nykyajan kielenoppaasta, koska tekun aikainen kurssimateriaali lensi roskiin jo viime vuosituhannella.
Lyhenteen tms. taivutettuun muotoon kirjoitetaan kaksoispisteen jälkeen näkyviin se pääte, joka ilmauksessa ääneen luettuna on. Kirjoittajan on siis tiedettävä, miten lyhenne luetaan. Tässä voi olla useita vaihtoehtoja, koska lyhenteellä on useita lukutapoja, etenkin, jos sillä on useita merkityksiä.
FTP:hen = äf tee peehen
oy:öön = osakeyhtiöön
oy:hyn = oo yyhyn
Eli kuten alkuperäisessä viestissäni sanoin, voidaan kirjoittaa sekä lyhenne luettuna kirjaimina tai aukipurettuna. Kts. tuo oy:öön sekä oy:hyn. SSH:hon, SSH:iin.
Lisää klippailua samasta lähteestä:
Kun vielä otetaan huomioon, että versaalien käyttö lyhenteen kirjoitusasussa voi vaihdella, saadaan usein monta erilaista vaihtoehtoa. Esimerkiksi Euroopan talousalue -nimityksen lyhennettä Eta tai ETA voidaan taivuttaa seuraavilla tavoilla:
kuulumme Etaan (luetaan: etaan)
kuulumme ETAan (luetaan: etaan)
kuulumme ETA:han (luetaan: ee tee aahan)
kuulumme Eta:han (luetaan: ee tee aahan)
kuulumme ETA:seen (luetaan: Euroopan talousalueeseen)
kuulumme Eta:seen (luetaan: Euroopan talousalueeseen)
Riittääkö selitykseksi?