Taloussanomat

Suositussa salausohjelmassa kaksi aukkoa – pahinta sitten Heartbleedin?

Kuva: Outi Pyhäranta / HS

15.1.2016 09:51 Ssh-salausprotokollan pääteohjelmisto on haavoittuvainen. OpenSSH:n uusin versio on kuitenkin oletusasetuksillaan turvallinen.

Salatun tietoliikenneprotokolla ssh:n asiakasohjelmista on löytynyt vakavia haavoittuvuuksia. Asian julkisti Qualys-pilviyhtiö.

Aukkoja on kaksi. CVE-2016-0777 on tietoja vuotava ja CVE-2016-0778 puskurin ylivuotoon perustuva haavoittuvuus.

Haavoittuvuudet perustuvat siihen, että ssh:ssa on ollut huhtikuussa 2010 julkaistusta 5.4-versiosta asti dokumentoimaton roaming-ominaisuus. Jos verkkoyhteys katkeaa, se jatkaa suojattua pääteyhteyttä toista verkkoyhteyttä käyttämällä.

Vaikka kaikki ssh-palvelimet eivät tue roamingia, se on asiakasohjelmistoissa oletusarvoisesti päällä.

Kun asiakasohjelmisto ottaa yhteyttä vihamieliseen tai murrettuun palvelimeen, CVE-2016-0777 mahdollistaa yksityisten avainten noutamisen asiakasohjelmalta. Hyökkäys onnistuu asiakasohjelman oletusasetuksilla.

Haavoittuvuutta on jo saatettu hyödyntää. Qualys suosittelee turvatoimeksi avaimien vaihtamista.

CVE-2016-0778 puolestaan edellyttää asiakasohjelman asetuksiin muutoksia ja on epätodennäköisempi hyökkäyskohde.

Kaikki ssh:n versiot välillä 5.4–7.1 ovat haavoittuvia. Pikakorjaus onnistuu asettamalla UseRoaming-parametrin arvoksi no globaalissa ssh_config(5)-tiedostossa.

OpenSSH:n 7.1p2-versio ei ole haavoittuvainen, sillä roaming ei ole siinä oletusarvoisesti päällä.

Haavoittuvuuksissa on samankaltaisuuksia toissavuotiseen OpenSSL-kirjastoon liittyneeseen Heartbleediin: Ne päästävät urkkijan lukemaan kohdekoneen ram-muistia, huomauttaa Ars Technica.

Heartbleed oli kuitenkin aukkona pahempi, sillä nyt löytyneet haavoittuvuudet edellyttävät autentikaatiota hyökkäyskoodia sisältävän palvelimen kanssa. Uutta aukkoa voidaan kuitenkin hyödyntää yhteydenpitoon kertaalleen murrettuun päätelaitteeseen, vaikka alkuperäinen aukko olisikin korjattu.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (27)

Sivut: 1 2 3
EdellinenSeuraava

Anonyymi
Maksakaa laskunne koti päätteestä on tili tyhjänä hetken päästä.
Anonyymi: ottakaa_opiksi 15.1.2016 10:12

Anonyymi
Hajatelmia.

Onkohan nämä aukot vahingossa syntyneitä vai tarkoituksella tehtyjä?
Anonyymi: Lumppu_1020 15.1.2016 10:37

Anonyymi
Näitä NSA-aukkoja on paljon turvallisessa Linuxissa.
Anonyymi: linuxvuotaa 15.1.2016 10:53

Anonyymi
Näitä NSA-aukkoja on paljon turvallisessa Linuxissa.


Vakio MS-trolli taas hankkii elantoaan.

Niin missähän käyttiksessä ne NSA-aukot nyt sitten olikaan? (vihje: alkaa W...)

Nykyään ei tosin tarvita MS/NSA-aukkoja, koska orjan data lähetetään automaattisesti jenkkilään.

Kysymys ei sitä paitsi ollut mitenkään linuxista tai edes OSS-ohjelmistosta yleensä.

Vastaavia aukkoja voi olla missä tahansa koodissa riippumatta alustasta tai siitä onko tyypiltään open vai closed.
Anonyymi: aivot_vuotaa 15.1.2016 11:37

Anonyymi
Näitä NSA-aukkoja on paljon turvallisessa Linuxissa.


Ahaa, no kerropas muutama.
Anonyymi: trollitutka 15.1.2016 11:44

Anonyymi
Microsoft antaa NSA:lle suoran pääsyn systeemeihinsä. NSA myös seuloo kaiken verkkoliikenteen, joten miten win-trolli ajatteli siltä suojautua?
Anonyymi: etteitotuusunohdu 15.1.2016 11:48

Anonyymi
Microsoft antaa NSA:lle suoran pääsyn systeemeihinsä. NSA myös seuloo kaiken verkkoliikenteen, joten miten win-trolli ajatteli siltä suojautua?


Verkkoliikenteen suojaaminen ei ainakaan onnistu näillä vuotavilla linuxeilla, joista näitä NSA-aukkoja löytyy.
Anonyymi: linuxkuolipois 15.1.2016 11:53

Anonyymi
Microsoft antaa NSA:lle suoran pääsyn systeemeihinsä. NSA myös seuloo kaiken verkkoliikenteen, joten miten win-trolli ajatteli siltä suojautua?

Verkkoliikenteen suojaaminen ei ainakaan onnistu näillä vuotavilla linuxeilla, joista näitä NSA-aukkoja löytyy.


Linuxeissa ei ole NSA-aukkoja toisinkuin sun wintoosassas! Linux ei siten vuoda eikä se ole kuollut pois.
Anonyymi: trollille 15.1.2016 12:11

Anonyymi
Microsoft antaa NSA:lle suoran pääsyn systeemeihinsä. NSA myös seuloo kaiken verkkoliikenteen, joten miten win-trolli ajatteli siltä suojautua?

Verkkoliikenteen suojaaminen ei ainakaan onnistu näillä vuotavilla linuxeilla, joista näitä NSA-aukkoja löytyy.


Mikä linux versio mahtaa olla kyseessä, kun noin hyvin näytät tietävän. Kerro nyt ihmeessä, tai muuten logiigasi ontuu pahasti.
Anonyymi: voi_vitsi 15.1.2016 12:18

Anonyymi
Microsoft antaa NSA:lle suoran pääsyn systeemeihinsä. NSA myös seuloo kaiken verkkoliikenteen, joten miten win-trolli ajatteli siltä suojautua?

Verkkoliikenteen suojaaminen ei ainakaan onnistu näillä vuotavilla linuxeilla, joista näitä NSA-aukkoja löytyy.


Herää todellisuuteen sieltä MS-harhaluuloistasi.

Turha tuota "linux vuotaa"-mantraa on hokea kuin joku ms-evangelista (joka taidat ollakin), koska muut alustat vuotaa huomattavasti enemmän.

Paitsi tietysti sinun todellisuudessasi.
Anonyymi: aivot_vuotaa 15.1.2016 12:33
Sivut: 1 2 3
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Nokia julkisti kolme uutta Symbian Belle -puhelinta

24.08.2011 Matkapuhelinyhtiö Nokia on julkistanut Symbian^3-puhelimiin tarkoitetun Belle-käyttöjärjestelmänsä. Uusi Belle-käyttöjärjestelmä toimii kolmessa uudessa Symbian-puhelimessa, jotka yhtiö julkistaa kolmannella vuosineljänneksellä.

.